【原创】什么?阿里云泄露企业托管代码?

最新推荐文章于 2022-08-25 11:18:23 发布
最新推荐文章于 2022-08-25 11:18:23 发布
阅读量554 收藏 1
点赞数
分类专栏: 测试基础 文章标签: 软件测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sylan15/article/details/88854185
版权

使用阿里云的同学,今天肯定都关注到一篇名为《独家 | 阿里云出现源代码泄露企业 涉及万科等 40 家企业 200 余项目》的公众号文章,当事人在文章中详细回顾了发现阿里云「泄漏企业托管代码」的来龙去脉。

具体问题可以总结为:

在阿里云云效平台上,只要登上账户,就能浏览到很多公司的「内参」代码。

猛地这么一看,够劲爆呀,阿里云这么大的平台,竟然出现这么大的漏洞。

稍晚的时候,阿里云在微博做了回应:

其实前面文章中也说明了问题所在,就是这个「Internal」一词在这个地方的使用不当,导致使用者对它的意义出现了误解。

常规理解「Internal」就是内部的意思,使用者理解的内部是「公司内部」,但阿里云在这里的内部指的是「平台内部」,从而导致设置了该权限的代码,就在平台内公开了。

很显然,这不能算漏洞,也不是 Bug,这属于一个用户体验类问题,只不过这次涉及到比较敏感的源代码,从而让问题的性质有了些许变化。

如果我们把产生歧义的描述「Internal」换成「平台内公开」,我相信肯定不会出现本次的泄漏事件。

所以它归根结底还是一个用户使用体验的问题,是设计者没有充分考虑使用者使

最低0.47元/天 解锁文章
isylan215
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里云代码托管平台,不限容量,免费使用
BYvonne的博客
09-29 891
阿里云代码托管平台,不限容量,免费使用,相比开源自建,阿里云 云效代码托管更(安全、稳定、高效)是适合企业代码管理平台,阿里云代码托管平台 Codeup,10 万企业都在用的代码管理平台,提供代码托管代码评审、代码扫描、质量检测、持续集成等功能,全方位保护企业代码资产,帮助企业实现安全、稳定、高效的代码托管和研发管理。
git 阿里云代码托管
weixin_30765319的博客
04-19 168
【问题描述】   在使用GitPush代码的时候,会出现Pushtoorigin/masterwasrejected的错误提示。   在第一次提交到代码仓库的时候非常容易出现,因为初始化的仓库和本地仓库是没有什么关联的,因此,在进行第一次的新代码提交时,通常会出现这个错误。 【问题原因】   远程仓库和本地仓库的内容不一致 【解决方法】   在git项目对应的目录位置...
阿里云代码托管使用
luoyaxing0812的专栏
10-08 1569
1. 注册阿里云账户 点击以下链接阿里云代码托管账户注册注册阿里云账户(不支持ie浏览器). 2. 配置ssh-key 打开https://code.aliyun.com/profile/keys添加ssh-key 如何生成ssk-key可参考阿里云code配置ssh 3. 将你的name发送给管理员 为了获取某些仓库的权限,将你的name 发送邮件给tyson.zhang@citybrandhk.com 打开https://code.aliyun.com/profile ..
程序员必须知道的几个Git代码托管平台
weixin_34364135的博客
03-18 299
一、VS2013中克隆远程Git仓库和SSH的配置 1、VS2013中克隆远程项目 首先感谢园友的评论和补充,今日又仔细看了一下,VS2013中是可以克隆项目的,只是我一直用的GitHub来克隆的,所以没有注意到。我们打开VS2013,切换到团队资源管理器,如图: 点击连接到团队项目...,会看到如下图界面: 点击克隆,输入远程Git地址,然后点击克隆按钮,就会将远程仓库的项目克隆...
阿里云免费私有代码托管、WebIDE、云效Flow
hknaruto的专栏
11-04 1308
代码托管 https://codeup.aliyun.com/ WebIDE WebIDE主机配置 $df -h Filesystem Size Used Avail Use% Mounted on /dev/vdc
开发者测评:阿里云 ACR 与其他的镜像仓库到底有什么不同?
阿里巴巴云原生的博客
08-25 624
为了帮助更多开发者了解容器镜像服务 ACR 的功能、使用方式和产品体验,阿里云容器镜像 ACR 面向广大开发者招募产品测评团,发布关于 ACR 的原创测评内容。活动正式展开仅一周的时间,已有数十位开发者发布他们对于 ACR 的使用体验。
谁在用阿里云?云计算用户须知10个问题
02-21
云计算喊了好几年了,笔者很好奇,到底什么样的用户...在中国,截止到2013年9月,阿里云上运行的WEB服务器数量已经达到1.8万个,比2012年增长了500%,托管的域名数从9万个增长到了39万个,其中活跃网站数从2万个增长到1
企业改制托管人员与企业有什么法律关系?.pdf
07-08
企业改制托管人员与企业有什么法律关系?.pdf企业改制托管人员与企业有什么法律关系?.pdf企业改制托管人员与企业有什么法律关系?.pdf企业改制托管人员与企业有什么法律关系?.pdf企业改制托管人员与企业有什么法律...
阿里云分析型数据库基本认识
01-27
随着企业IT和互联网系统的发展,产生了越来越多的数据。数据量的积累带来了质的飞跃,使得数据应用从业务系统的一部分演变得愈发独立。物流、交通、新零售等越来越多的行业需要通过OLAP做到精细化运营,从而调控生产...
阿里云效仓库Maven配置】非常全面的可以直接用的Maven的Settings仓库文件
04-20
云效代码管理 Codeup 是阿里云出品的一款企业代码管理平台,提供代码托管代码评审、代码扫描、代码度量等功能,不限人数、超大容量 (自2022.12.12起,受 Maven 中央仓库网络限制,阿里云云效 Maven 中央代理...
必须上云,还是不上云?或是优先选择云?
02-25
炒作似乎要伴随我们直到天长地久了,但过去几年中,云已经作为公司企业最经济、最前瞻、最灵活的IT运营方式飞速成长起来了。事实上,云的采用如此之流行,以至于很多内部数据中心的长远未来,都面临着遭逢诸如亚马逊...
常用的代码托管平台
grootbaby
08-29 1106
国内代码托管平台 coding:https://coding.net csdn:https://code.csdn.net 开源中国:http://git.oschina.net/   国外代码托管平台(你懂的,一般比较卡) https://github.com/ https://about.gitlab.com/   个人感觉,相对来说国外的和csdn的比较慢。 gi...
软件测试有前途么?
热门推荐
sylan215的软件测试技术学习
08-28 1万+
看到这个问题你是不是已经笑了?当然我也做好了挨喷的准备了。 我搜了一下知乎,同样的问题可以翻好几页,回答的观点也各式各样,但是没有一个统一的高赞答案,今天我姑且谈谈我的个人看法,欢迎大家一起讨论。 来来来,坐好啦,先给大家说说我自己关于选择的故事。 一、学习 Java 有前途么? 我是 2005 年开始学习 Java 的,应该是相当早了(暴露年龄了),那时的我还没大学毕业,所以在学习前、学...
原创】思维导图编写测试用例的两种格式
sylan215的软件测试技术学习
03-27 9181
一 2014 年之前,我们组一直使用 Excel 编写测试用例,从 2011 年开始的 3 年时间里,积累的 Excel 文件大小将近 3M,体积变大导致文件打开速度越来越慢。 同时随着项目迭代速度的加快,Excel 编写用例的效率已经开始拖后腿,经常出现在项目完结后才去追更测试用例的情况。 所以在 2014 年,我们果断的切换为思维导图编写用例,然后一直沿用至今。 二 思维导图也叫脑图,本来是为...
原创】内存不足导致 nginx 崩溃的原因分析
sylan215的软件测试技术学习
06-20 5292
最近在 Centos7 上搭建 nginx 作为 web 服务器使用,但是使用过程中,nginx 总是莫名其妙的崩掉,使用命令 dmesg 检查错误信息如下: [6655217.659132] Out of memory: Kill process 11494 (lsof) score 10 or sacrifice child [6655217.659567] Killed process 11...
原创】测试人员在需求评审时做什么?
sylan215的软件测试技术学习
09-12 4456
学习过测试理论的同学肯定都知道,测试人员参与项目的第一步,大部分都是需求评审,但是不少测试同学反馈,自己很少参与需求评审,需求会议也很少喊测试人员参与。 我觉得这一方面可能是流程上各角色配合的问题,另一方面可能是因为测试在评审过程中没有体现出参与的价值。 针对第一个可能,需要测试主动找产品沟通,一方面表达希望参与需求评审的意愿,另一方面也要求他们在需求评审时喊上测试。 针对第二个可能,就需要...
原创】用思维导图写测试点的几点说明
sylan215的软件测试技术学习
05-21 3996
之前在文章《思维导图编写测试用例的两种格式》中,提到思维导图写用例的格式,这里澄清下,这里说的测试用例准确的说应该叫测试点,亦或者说是测试用例标题,因为测试用例本来就包含了用例标题、前置条件和测试步骤等内容。 今天的几点说明,都是和这个概念有关的,名称不同,代表的意义也不同。 言归正传,我们来一起看看这次要说明的都有哪些点。 1、区分测试点和用例步骤 我们来看个例子: 上图是同一个测试目的的两种...
原创】思维导图写测试用例的再补充
sylan215的软件测试技术学习
06-20 3653
关于思维导图写测试点的方法,之前已经写了三篇文章了,测试点的写法上基本上已经说的比较清晰,但是落地执行时还是会有一些小问题。 没看过之前文章的,请按顺序回顾下哈: 《思维导图编写测试用例的两种格式》 《用思维导图写测试点的几点说明》 《思维导图写测试点的额外补充》 下面我针对这几个小问题再做个补充说明。 1、要提前构思好整体分类再动手写测试点 拿到需求后,不要一上来就直接上手开始咔咔的写用例,先要...
GitHub是什么?如何在GitHub上搜索代码
最新发布
05-07
GitHub 是一个面向开源及私有软件项目的托管平台,可以通过 Git 进行版本控制,它是世界上最大的开源社区之一。在 GitHub 上,你可以上传自己的代码、浏览他人的代码、学习他人的代码等。同时,GitHub 还提供了一些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值