阿里云泄露企业托管代码？这可真是冤枉了！

2019 年 2 月 22 日 InfoQ

作者 | Lisa

近日，阿里云云效平台被曝出现源代码泄露企业，涉及 40 家企业共 200 余项目，甚至波及用户隐私敏感数据。晚些时候，阿里云就此事作出回应，并在网站醒目标识并给出告警。

今天，一篇题为《独家 | 阿里云出现源代码泄露企业涉及万科等 40 家企业 200 余项目》的文章吸引了不少关注。文章披露，阿里巴巴旗下一站式研发提效平台——云效平台，只要通过账号正常登陆进去，就可以看到很多公司的“内部”代码，甚至不少用户敏感信息被泄露，涉及公司包括万科集团、咪咕音乐、百度无人车合作伙伴 ecarx 等。

根据 InfoQ 编辑了解，出现该问题的主要原因在于提交者对“internal”一词的不同理解。在云效平台提交代码，默认可以选择三种方式：Private、Internal 和 Public。私有与公开很好理解，唯独 Internal 一词出现争议，这些代码被公开的企业可能将其理解为公司内部公开，因此将默认状态下的 Private 权限更改为 Internal。但是，Internal 的真正含义是平台公开而非公司内部公开，一旦选择该选项，就意味着数据对整个云效平台公开，所有用户均可访问，这也是造成本次“源码泄露”事件的主要原因。

针对此事，InfoQ 第一时间与阿里云取得联系。对此，阿里云回应如下：

阿里云方面表示，2018 年 9 月底，阿里云曾增强对 Internal 权限的中文注解，并于近日发出全站通知提醒。同时，阿里云正在逐一通知之前将访问权限设为 Internal 的开发者用户，确保大家正确理解该访问权限的含义，并将继续评估、改进相关产品设计，让所有开发者有一个更安全、清晰的使用体验。

对此，开发者的反应各有不一，有人认为 Internal 一词在国内更多被翻译为内部，国外则更多理解为平台公开，国内外对于同一词汇的理解存在误差，阿里云应该给出更加具体的说明；也有网友表示，代码托管平台的设计大致相仿，几乎每个平台都采用 Internal 一词表示平台公开，长期编程的技术人员不可能产生误解；另外，也有不少人对数据表示怀疑，认为该量级的企业不会将内部非公开代码托管到公共平台，而是应该放在私有平台存储。

对于被提到的几家代码公开的企业，部分已经第一时间将状态更改为 Private，暂未出现更大规模信息泄露，阿里云也表示将主动联系平台内项目状态设置为“Internal”的客户，第一时间确认是否存在其他风险。据了解，目前该平台已经给出醒目告警。正常状态下，项目默认为私有，手动更改请慎重选择。

回顾 2018 年，全球数据泄露事件不断，当事公司不乏技术实力雄厚、人才充足的大型互联网企业，个别企业的安全漏洞甚至被黑客利用数年之久，泄露的总体数据量超过 10 亿。其中，比较大型的几起事件有万豪国际集团官方微博声明，喜达屋旗下酒店客户预订数据库被黑客入侵，在 2018 年 9 月 10 日或之前曾在该酒店预定的最多 5 亿条客户数据或被泄露；华住集团被曝数据泄露，用户信息在暗网公开出售，标价 8 个比特币（当时的市值大约等价 37 万人民币），被泄露用户信息近 5 亿；2019 刚开年，单单 Elasticsearch 数据泄露事件一个月就发生了 6 起。

无论是大型云厂商还是企业，都应该加强代码安全意识，尤其是涉及用户敏感信息的数据。对于拥有大量隐私数据的企业而言，加强内部员工管理也很关键，内因往往是造成此类事件发生的最大原因之一。第三方代码平台应该加强管理和风险告知能力，企业层面也需要加强员工培训并在做出选择之前进行合理风险评估。一旦出现信息泄露，第一时间对泄露数据和代码进行清理，以免发酵被黑客利用。

对于此事，各有各的说法，你对"Internal“一词作何理解？你认为这个锅应该谁背呢？