張中南發現潛在安全風險后，與其中一些安全公司的一線工程師聯系，通知對方修改了設置。考慮到自己的“義舉”可能對自身帶來法律風險，2018 年 11 月，他將51信用卡在阿里云 code 上托管的代碼項目 51足跡 App，因為權限配置不當而泄漏的情況告知了云效客服，希望阿里云能發個站內信告知這部分公司。

最初，張中南以為這些代碼是開源的，但這些代碼內容很多都是不該出現在開源項目中的。比如，項目的數據庫、賬號、密碼等。抱著測試一下的態度，張中南登錄了這些賬號和密碼，卻發現了一些公司生產環境的具體數據。

今年 1 月 31 日，張中南再次聯系了阿里云云效平臺，希望事情得到處理。這次阿里云客服表示：“作為公有云的代碼托管，我們無權掃描用戶的代碼，這一點公有和私有一樣，倉庫的開放性是用戶自主的權利。”阿里云稱，感謝張中南的反饋，會將其反饋到的信息給到其發現的幾個倉庫的維護者，但同時也建議張中南可以直接通過 commit 的郵箱與維護者進行提示。

任何產品功能理解上的歧義，都說明我們在產品設計和用戶體驗上做得不夠好。我們正在評估、改進相關產品設計，讓所有開發者有一個更安全、清晰的使用體驗。

自認為，即便是英文不認識，讀讀描述仍然是能搞的懂的問題，不知道為什么會成為一個直接導致“用戶數據泄露”的大問題。”

CODING公司產品總監王振威對雷鋒網表示，阿里云方面存在兩個問題。 第一，企業級產品可以這么隨意的選擇公開源碼選項是有問題的，不符合企業管理的規范。第二，它提供了一個具有誤導性的選項 internal，讓用戶誤以為是內部項目，其實不是。此外，阿里云云效平臺客服處置不當。“這個操作不需要掃描用戶代碼，應該及時通知所有用戶檢查自己項目的權限設置。”王振威說。

目前，阿里云云效平臺建庫操作頁面為中文，默認權限為“私有”。

2018 年 9 月底，我們已經增強了對 Internal 權限的中文注解，并于昨日發出全站通知提醒。同時，我們正在逐一通知之前將訪問權限設為 Internal 的開發者用戶，確保大家正確理解該訪問權限的含義。

和阿里云有什么關系？文章里又一個吐老血的狗屁劇情就這樣發生了，文章描述阿里云存在的問題竟然是因為阿里云代碼托管平臺的業務，這些描述都是用英文寫的！

也有人認為，阿里云未盡到提示義務。

“ GitHub 敏感信息泄露，已經成為了一項標準的安全測試流程了，這些問題都出自程序員本身對安全意識的匱乏，程序員要背鍋，技術老大的鍋也跑不了，能當的上團隊的技術 leader 起碼的安全風控意識，安全標準還是要有的吧？為什么沒有有效的管理、培訓、風控體系，才讓程序員犯了這么低級的錯誤，導致出這一的大問題，我想是每一個技術負責人都該自我檢討和思考的。”曲子龍寫道。

張中南稱，去年 8 月下旬他注冊了一個阿里云平臺賬號，卻意外發現在阿里云效平臺上，只要登上賬號，就能瀏覽到很多公司的“內部”代碼。

網絡尖刀團隊曲子龍撰文反駁了鉛筆道《獨家 | 阿里云出現源代碼泄露企業 涉及萬科等 40 家企業 200 余項目》該文的論調，他認為，文章描述實際泄漏源過度傾向于問題出自“阿里云代碼托管平臺”，但事實上并非如此。