周一大清早,刚上班。
”Tw, 你那个事情是怎么回事?“,部门开发领导刚到办公室,就对着刚毕业半年的tw同学说到。
tw思考了0.5秒后说:“对账单的事情我知道了,正在处理。”
领导:“对账单你妹啊,你知道什么事情吗,公司的代码怎么传到GitHub上去了?”
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fudlbbu4-
事出有因
这时才知道事情的严重性。原来是因为公司的安全部门监控到了公司的代码被人上传到了GitHub,并将这事上报给了CTO,CTO马上找到了我们部门的开发领导,说我们部门的人将公司的代码上传到网上,并涉及到部分密钥、密码等敏感信息的泄露,可想而知,领导肯定被CTO批评了一通。
之前,在B站的时候,也遇到过一次有一个离职的同事因为和公司有过节,离职后匿名将公司的代码传到了网上,消息在网上快速传播,短短一段时间这个项目就被fork6000次,star9000次,业务源码被好奇宝宝们扒光衣服看的通透,大数据杀熟、大骂产品等相关的代码注释也让不少吃瓜群众大饱眼福。
为什么公司禁止员工将代码上传到网上
首先是代码中有一些敏感的信息比用数据库连接信息,一些公私钥等,在公网上传播时会被不法的用户获取后会恶意的破坏系统,后果非常严重,可能会导致公司业务停摆、股票大跌、甚至破产,相关人员也会受到法律的严惩。
其次是相关的业务细节被暴露也容易被人利用系统漏洞恶意攻击,同时相关的商业操作也会被竞争对手知道,一些不应该被用户知道的事情也会导致用户的流失。
如何避免类似的事情再次上演
- 公司加强代码管控力度。作为互联网公司,数据就是生产力,强化数据安全。使用内网通讯,监控公网通讯。
- 加强外部监控。在最短的时间内发现公网上公司相关的代码信息。
- 提高员工的安全意识,强调未经允许上传代码的危害。
- 做好代码权限划分。不同的人员拥有最小的相关权限。
本次代码上传的原因及最终的处理结果
最近,正好公司在各个研发部门中推行安全整改的事情(目前的老东家做支付,有不少商户的敏感信息),又遇到部门同事将公司的代码推到了GitHub上,真是祸不单行啊。删除仓库后,Tw又被领导叫去谈话也被批评了一顿,然后领导把我们一组十几个研发叫到会议室有开了一个会,专门强调这事,并安排项目的整改把相关的敏感信息修改掉并放到apollo中去。
然后整的tw这哥们今天郁闷了一天,由于代码上传时间短,还没有被人fork,也考虑是tw刚工作,上传代码的目的是让另一个刚毕业半年的同事看,就没有做其他的处理,但是全公司通报批评肯定是少不了的。
希望大家要引以为戒,不要擅自将公司的代码上传到网络上去,后果很严重。
1960
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
