網絡尖刀團隊曲子龍撰文反駁了鉛筆道《獨家 | 阿里云出現源代碼泄露企業 涉及萬科等 40 家企業 200 余項目》該文的論調，他認為，文章描述實際泄漏源過度傾向于問題出自“阿里云代碼托管平臺”，但事實上并非如此。

“什么是代碼托管？用大白話講就是提供一個存代碼的地方，企業可以像托管服務器一樣，在上面自由存放托管代碼。

和阿里云有什么關系？文章里又一個吐老血的狗屁劇情就這樣發生了，文章描述阿里云存在的問題竟然是因為阿里云代碼托管平臺的業務，這些描述都是用英文寫的！

目前，阿里云云效平臺建庫操作頁面為中文，默認權限為“私有”。

阿里云代碼托管團隊

該平臺旨在為開發者提供代碼托管與交流服務。我們提供了Private（私有）、Internal（站內登錄可見）、Public（完全公開）三個訪問權限選項。默認代碼訪問權限為Private（私有），用戶可以手動更改為其他選項。

【 圖片來源：鉛筆道  所有者：鉛筆道 】

托管怎么泄露的？就是創建托管項目分為“公開”和“私有”模式，很多程序員對公開和私有可能有什么誤會，把本該私有模式的代碼（阿里云默認就是私有模式），設置成為了公開，導致所有有公開權限的人都可以在這里 down 他原本需要設置成為“私有”的代碼。

“GitHub 敏感信息泄露，已經成為了一項標準的安全測試流程了，這些問題都出自程序員本身對安全意識的匱乏，directadmin漢化 虛擬主機，程序員要背鍋，技術老大的鍋也跑不了，能當的上團隊的技術 leader 起碼的安全風控意識，安全標準還是要有的吧？為什么沒有有效的管理、培訓、風控體系，才讓程序員犯了這么低級的錯誤，導致出這一的大問題，我想是每一個技術負責人都該自我檢討和思考的。”曲子龍寫道。

2 月 22 日，據鉛筆道報道，上海一家科技公司的后端工程師張中南爆料，阿里云代碼托管平臺的項目權限設置存在歧義，導致開發者操作失誤，造成多家企業項目代碼泄露，云服務器租用，他半年前已經發現此事，并向阿里云云效平臺報告，問題至今未完全解決。張中南認為，之所以出現這種情況，可能是因為這些公司的程序員在給項目建庫時操作不當，將項目權限設置成“平臺公開”。因為當時的阿里云代碼托管業務還是全英文平臺，可能很多企業在創建項目的時候會誤選擇“internal”，也就是“平臺公開”。

自認為，即便是英文不認識，讀讀描述仍然是能搞的懂的問題，不知道為什么會成為一個直接導致“用戶數據泄露”的大問題。”

CODING公司產品總監王振威對雷鋒網表示，阿里云方面存在兩個問題。第一，企業級產品可以這么隨意的選擇公開源碼選項是有問題的，不符合企業管理的規范。第二，它提供了一個具有誤導性的選項 internal，讓用戶誤以為是內部項目，其實不是。此外，阿里云云效平臺客服處置不當。“這個操作不需要掃描用戶代碼，應該及時通知所有用戶檢查自己項目的權限設置。”王振威說。

2018 年 9 月底，我們已經增強了對 Internal 權限的中文注解，并于昨日發出全站通知提醒。同時，我們正在逐一通知之前將訪問權限設為 Internal 的開發者用戶，確保大家正確理解該訪問權限的含義。

任何產品功能理解上的歧義，都說明我們在產品設計和用戶體驗上做得不夠好。我們正在評估、改進相關產品設計，讓所有開發者有一個更安全、清晰的使用體驗。

雷鋒網發現，2 月 22 日下午 2 點左右，阿里云在其新浪微博上發布了關于 Internal 訪問權限的說明：

也有人認為，阿里云未盡到提示義務。

曲子龍指出，程序員誤傳代碼，把包含敏感信息的項目傳到了開源平臺，這是一個常年累積下來的幺蛾子病。

我們收到開發者用戶反饋，認為阿里云代碼托管平臺 code.aliyun.com 訪問權限設置中的“Internal”選項存在理解歧義。