張中南發(fā)現(xiàn)潛在安全風(fēng)險(xiǎn)后，與其中一些安全公司的一線工程師聯(lián)系，通知對(duì)方修改了設(shè)置。考慮到自己的“義舉”可能對(duì)自身帶來法律風(fēng)險(xiǎn)，2018 年 11 月，他將51信用卡在阿里云 code 上托管的代碼項(xiàng)目 51足跡 App，因?yàn)闄?quán)限配置不當(dāng)而泄漏的情況告知了云效客服，希望阿里云能發(fā)個(gè)站內(nèi)信告知這部分公司。

最初，張中南以為這些代碼是開源的，但這些代碼內(nèi)容很多都是不該出現(xiàn)在開源項(xiàng)目中的。比如，項(xiàng)目的數(shù)據(jù)庫(kù)、賬號(hào)、密碼等。抱著測(cè)試一下的態(tài)度，張中南登錄了這些賬號(hào)和密碼，卻發(fā)現(xiàn)了一些公司生產(chǎn)環(huán)境的具體數(shù)據(jù)。

今年 1 月 31 日，張中南再次聯(lián)系了阿里云云效平臺(tái)，希望事情得到處理。這次阿里云客服表示：“作為公有云的代碼托管，我們無權(quán)掃描用戶的代碼，這一點(diǎn)公有和私有一樣，倉(cāng)庫(kù)的開放性是用戶自主的權(quán)利。”阿里云稱，感謝張中南的反饋，會(huì)將其反饋到的信息給到其發(fā)現(xiàn)的幾個(gè)倉(cāng)庫(kù)的維護(hù)者，但同時(shí)也建議張中南可以直接通過 commit 的郵箱與維護(hù)者進(jìn)行提示。

任何產(chǎn)品功能理解上的歧義，都說明我們?cè)诋a(chǎn)品設(shè)計(jì)和用戶體驗(yàn)上做得不夠好。我們正在評(píng)估、改進(jìn)相關(guān)產(chǎn)品設(shè)計(jì)，讓所有開發(fā)者有一個(gè)更安全、清晰的使用體驗(yàn)。

自認(rèn)為，即便是英文不認(rèn)識(shí)，讀讀描述仍然是能搞的懂的問題，不知道為什么會(huì)成為一個(gè)直接導(dǎo)致“用戶數(shù)據(jù)泄露”的大問題。”

CODING公司產(chǎn)品總監(jiān)王振威對(duì)雷鋒網(wǎng)表示，阿里云方面存在兩個(gè)問題。 第一，企業(yè)級(jí)產(chǎn)品可以這么隨意的選擇公開源碼選項(xiàng)是有問題的，不符合企業(yè)管理的規(guī)范。第二，它提供了一個(gè)具有誤導(dǎo)性的選項(xiàng) internal，讓用戶誤以為是內(nèi)部項(xiàng)目，其實(shí)不是。此外，阿里云云效平臺(tái)客服處置不當(dāng)。“這個(gè)操作不需要掃描用戶代碼，應(yīng)該及時(shí)通知所有用戶檢查自己項(xiàng)目的權(quán)限設(shè)置。”王振威說。

目前，阿里云云效平臺(tái)建庫(kù)操作頁(yè)面為中文，默認(rèn)權(quán)限為“私有”。

2018 年 9 月底，我們已經(jīng)增強(qiáng)了對(duì) Internal 權(quán)限的中文注解，并于昨日發(fā)出全站通知提醒。同時(shí)，我們正在逐一通知之前將訪問權(quán)限設(shè)為 Internal 的開發(fā)者用戶，確保大家正確理解該訪問權(quán)限的含義。

和阿里云有什么關(guān)系？文章里又一個(gè)吐老血的狗屁劇情就這樣發(fā)生了，文章描述阿里云存在的問題竟然是因?yàn)?a href="http://www.qzkangyuan.com/cnidc/tech/cdn/20170623/7848.html">阿里云代碼托管平臺(tái)的業(yè)務(wù)，這些描述都是用英文寫的！

也有人認(rèn)為，阿里云未盡到提示義務(wù)。

“ GitHub 敏感信息泄露，已經(jīng)成為了一項(xiàng)標(biāo)準(zhǔn)的安全測(cè)試流程了，這些問題都出自程序員本身對(duì)安全意識(shí)的匱乏，程序員要背鍋，技術(shù)老大的鍋也跑不了，能當(dāng)?shù)纳蠄F(tuán)隊(duì)的技術(shù) leader 起碼的安全風(fēng)控意識(shí)，安全標(biāo)準(zhǔn)還是要有的吧？為什么沒有有效的管理、培訓(xùn)、風(fēng)控體系，才讓程序員犯了這么低級(jí)的錯(cuò)誤，導(dǎo)致出這一的大問題，我想是每一個(gè)技術(shù)負(fù)責(zé)人都該自我檢討和思考的。”曲子龍寫道。

張中南稱，去年 8 月下旬他注冊(cè)了一個(gè)阿里云平臺(tái)賬號(hào)，卻意外發(fā)現(xiàn)在阿里云效平臺(tái)上，只要登上賬號(hào)，就能瀏覽到很多公司的“內(nèi)部”代碼。

網(wǎng)絡(luò)尖刀團(tuán)隊(duì)曲子龍撰文反駁了鉛筆道《獨(dú)家 | 阿里云出現(xiàn)源代碼泄露企業(yè) 涉及萬(wàn)科等 40 家企業(yè) 200 余項(xiàng)目》該文的論調(diào)，他認(rèn)為，文章描述實(shí)際泄漏源過度傾向于問題出自“阿里云代碼托管平臺(tái)”，但事實(shí)上并非如此。