精品国产亚洲一区二区三区|亚洲国产精彩中文乱码AV|久久久久亚洲AV综合波多野结衣|漂亮少妇各种调教玩弄在线

<blockquote id="ixlwe"><option id="ixlwe"></option></blockquote>
  • <span id="ixlwe"></span>

  • <abbr id="ixlwe"></abbr>

    源碼泄漏B站裸奔,天災(zāi)還是人禍?

    原標(biāo)題:源碼泄漏B站裸奔,天災(zāi)還是人禍?

    文/劉興亮(微信公眾號(hào):劉興亮?xí)r間)

    ?

    B站源代碼泄露,不僅造就了程序員們的狂歡,更有諸多未解之謎,《亮三點(diǎn)》節(jié)目請(qǐng)到了極安客實(shí)驗(yàn)室創(chuàng)始人萬(wàn)濤(黑客老鷹),來(lái)聊一聊B站源代碼泄露的事兒。

    注:下文中,劉興亮簡(jiǎn)稱為“劉”,萬(wàn)濤簡(jiǎn)稱為“萬(wàn)”。

    劉:把代碼上傳到GitHub,本來(lái)是程序員們經(jīng)常干的一個(gè)事,通常一個(gè)程序員他應(yīng)該只管自己分內(nèi)的事兒,所以說(shuō)上傳上去即使泄露,也只是一部分,但這一次竟然把B站的全部源代碼都泄露出去了,是不是有點(diǎn)奇怪?

    萬(wàn):也許未必奇怪,有可能這個(gè)代碼的分享方式是以一個(gè)項(xiàng)目方式來(lái)創(chuàng)建的,也就是說(shuō)它可能不是一個(gè)程序員,可能是一個(gè)項(xiàng)目組,或者說(shuō)大家都是用GitHub的這種模式來(lái)工作。

    劉:代碼泄露對(duì)于一個(gè)公司來(lái)說(shuō),后果很嚴(yán)重。尤其是B站這樣的一個(gè)上市公司。對(duì)上市公司的影響首先就體現(xiàn)在股價(jià)。這個(gè)事情發(fā)生后,B站當(dāng)天股價(jià)就暴跌,第二天又被上海證監(jiān)局約談了,因?yàn)楣_了一些中獎(jiǎng)的貓膩行為。你覺(jué)得這事對(duì)于B站的影響有多大?

    萬(wàn):這個(gè)影響要從幾個(gè)方面來(lái)看:一個(gè)是泄漏的代碼是當(dāng)前業(yè)務(wù)本身在用的代碼,還是以前的?官方聲明說(shuō),這是老代碼,已經(jīng)不用的。至于如何判斷是新代碼還是老代碼,可能需要專業(yè)的機(jī)構(gòu)去做相關(guān)的檢測(cè)。

    假如是新代碼,那影響比較大。因?yàn)槲覀儼踩袠I(yè)通常會(huì)有安全測(cè)試,比如黑盒測(cè)試和白盒測(cè)試。整個(gè)當(dāng)前業(yè)務(wù)使用的源代碼泄露,相當(dāng)于提供了一個(gè)開放性的白盒測(cè)試給安全愛好者。原有代碼里面的一些缺陷和風(fēng)險(xiǎn)可能就會(huì)直接暴露在所有人面前,這是一方面的風(fēng)險(xiǎn)。也有可能對(duì)業(yè)務(wù)的安全產(chǎn)生持續(xù)性的影響,如果里面確實(shí)存在缺陷的話就需要整改,相對(duì)來(lái)講它的危險(xiǎn)比做黑盒測(cè)試會(huì)大很多。

    第二個(gè)維度就是如果的確存在類似業(yè)務(wù)的貓膩或者有些不可描述的bug,那么會(huì)對(duì)公司的形象、商譽(yù)、用戶的信任產(chǎn)生影響,這個(gè)直接會(huì)反映在他未來(lái)的業(yè)務(wù)上。

    第三個(gè)層面就是管理問(wèn)題了。因?yàn)樽鳛榛ヂ?lián)網(wǎng)公司,技術(shù)是你的根本,代碼的安全管理實(shí)際上是反映了管理水平的問(wèn)題。如果說(shuō)現(xiàn)有代碼都這樣去泄露,說(shuō)明它的安全管理存在問(wèn)題。

    劉:剛才你提到了兩個(gè)專有名詞,黑盒和白盒。黑盒就是我們從大樓外面看,知道這個(gè)大樓的形狀。白盒是他可以闖進(jìn)這個(gè)大樓來(lái),更容易進(jìn)行破壞。

    如果泄露的是最新代碼的話,B站就需要進(jìn)行重建。那B站這一次需要付出的成本有多大?可不可以簡(jiǎn)單量化一下是個(gè)什么級(jí)別?

    萬(wàn):這個(gè)要看代碼量和它的架構(gòu),從第三方角度去看,本身存在的問(wèn)題大不大。

    對(duì)應(yīng)的案例就是:深圳大疆。也是程序員上傳代碼在Github上,但被國(guó)外的一個(gè)安全研究員發(fā)現(xiàn)了大疆安全密鑰上的一些問(wèn)題。這間接影響到了大疆的用戶和用戶的秘鑰,甚至是飛行數(shù)據(jù)這類的數(shù)據(jù)安全問(wèn)題。大疆按照法院判決評(píng)估大概有一百多萬(wàn)的損失,程序員也遭受了半年的刑法處置以及人民幣的處罰。

    相關(guān)其他互聯(lián)網(wǎng)公司,比如攜程,以前也出過(guò)類似事件,后來(lái)他出臺(tái)過(guò)一些規(guī)定。關(guān)于Github上這種分享,如果違反了公司的規(guī)定,要接受一定經(jīng)濟(jì)或者人事上的處罰,也有可能要評(píng)估一定的損失,所以損失的量化需要有關(guān)部門或者說(shuō)B站自己來(lái)評(píng)估,但如果就現(xiàn)在的話,他可能需要代碼重構(gòu)的工作,這也是一個(gè)很大的工作量。

    劉:大疆的程序員只是自己負(fù)責(zé)的那一小塊,就給大疆造成了一百多萬(wàn)的損失,給他罰款20萬(wàn)然后判刑了半年。如果這樣進(jìn)行一個(gè)比較的話,B站的損失應(yīng)該比大疆的損失會(huì)更大,那這個(gè)程序員是不是受到的懲罰也會(huì)更重呢?

    萬(wàn):這個(gè)具體要看原因。比如說(shuō)這本身是公司行為,它是一個(gè)項(xiàng)目模式,只是因?yàn)楣竟芾砩系氖韬?,使代碼沒(méi)有做私有化管理,變成完全是公開的,那這就是公司管理上的問(wèn)題。

    第二如果是程序員自己的行為,那要看他的主觀性客觀性以及實(shí)際產(chǎn)生了多少損失。比如有用戶可能因此發(fā)起訴訟或者說(shuō)造成用戶流失等等。

    劉:在您這樣一個(gè)老程序員眼里,像B站這樣的上市公司,一個(gè)或者是幾個(gè)程序員就可能在無(wú)意中把整個(gè)公司的源代碼都上傳上去,然后泄露了。那對(duì)于它這個(gè)安全管理是不是太小兒科了?

    萬(wàn):其實(shí)不僅是像B站這樣的上市公司。還有很多公司,如果你在Google上或者百度上,你用Github源代碼泄露去搜一搜,你會(huì)發(fā)現(xiàn)有很多這樣的案例。有時(shí)候互聯(lián)網(wǎng)公司的安全部門也沒(méi)辦法管,因?yàn)檠邪l(fā)可能是有別的部門在管理,可能公司是一紙規(guī)定,但是缺乏一些手段去發(fā)現(xiàn)。

    在一些比較成熟型的風(fēng)險(xiǎn)控制公司,一般在源代碼關(guān)于用Github上都會(huì)有一些規(guī)定,比如說(shuō)要做私有化處理或者要去掉一些敏感信息等,這方面考驗(yàn)的是一個(gè)公司的管理水平。但也有可能會(huì)產(chǎn)生業(yè)務(wù)和安全部門執(zhí)行不到位的問(wèn)題。比如安全部門希望要把這塊管理起來(lái),但是程序員個(gè)人為了圖方便,或者說(shuō)研發(fā)部門為了圖方便,大家并沒(méi)有嚴(yán)格去遵守相關(guān)的安全規(guī)定。所以這方面的工作是需要多個(gè)維度來(lái)看。

    作為上市公司你肯定是要做這樣的合規(guī),如果說(shuō)這個(gè)問(wèn)題的確是新問(wèn)題,而不是以前的老問(wèn)題的話,可能就是你的合規(guī)沒(méi)有做到位,有了面上的合規(guī)但沒(méi)有做到實(shí)質(zhì)的合規(guī)。

    再一個(gè)就是可能有些做了這樣的規(guī)則,但它缺乏技術(shù)手段。比如說(shuō),一般我們都會(huì)用第三方的工具,或者說(shuō)自己開發(fā)的工具,用爬蟲在Github上去爬,以自己公司的名字作為關(guān)鍵字,去看有沒(méi)有這種非規(guī)范性的代碼泄露問(wèn)題。

    還有可能就是一些個(gè)人行為,我們經(jīng)常在Github上扒到很多公司的一些源碼庫(kù)。

    劉:你扒過(guò)嗎?

    萬(wàn):這是常見的事兒。比如你想了解或評(píng)估一個(gè)站點(diǎn)或者某個(gè)項(xiàng)目,你想找點(diǎn)資料去看一下... 其在16年以前,這種事情是很多的,慢慢一些公司認(rèn)識(shí)到了其中的危害性,但是又不能夠完全封禁程序員這種模式,因?yàn)橛泻芏喑绦騿T是為了996加班,回家還能寫代碼,而且在Github上分享也有很多收益,大家一起互相學(xué)習(xí),所以也是可以理解。

    不能完全禁止掉程序員去用Github,這也是一個(gè)互聯(lián)網(wǎng)公司文化的底蘊(yùn)基礎(chǔ),所以這里面主要是一個(gè)平衡。

    劉:這次泄露的有B站管理員郵箱,包括郵箱密碼,還有大量的密鑰,這是不是意味著用戶的隱私,用戶的信息也會(huì)被跟著一塊泄漏了?

    萬(wàn):主要的應(yīng)該是測(cè)試性的內(nèi)部郵箱,這種情況其實(shí)反映在做Github這種代碼的管理上,還可以做得更細(xì)一些,一方面我們有時(shí)候的確是為了工作方便,要把代碼在Github上來(lái)進(jìn)行管理。

    另一方面,如果涉及到完全是內(nèi)部賬號(hào),寫代碼有時(shí)候是把它用注釋,或者其他方式放在里面,為了自己閱讀方便。但是當(dāng)你放在一個(gè)公共的資源平臺(tái)上,這些就應(yīng)該要做處理,在早期的一些Github的使用上,大家過(guò)于簡(jiǎn)單粗暴。

    這種其實(shí)不一定反映在Github上,其實(shí)在百度網(wǎng)盤上你也能看到,有一些離職的工作是通過(guò)百度網(wǎng)盤做離職文檔,但是文件上傳以后,交接人下載完了之后也沒(méi)管,然后這個(gè)文檔就一直在那兒,甚至沒(méi)有加密,那么大家用爬蟲就能爬到。而且,很多公司這種交接文檔里面什么內(nèi)網(wǎng)賬號(hào)都很全...

    所以這種泄露途徑是很多的。

    劉:我也是一個(gè)B站用戶,作為B站的普通用戶要不要擔(dān)心自己的信息被泄露了?或者說(shuō)我們需要盡快改掉什么東西?

    萬(wàn):作為一個(gè)用戶來(lái)講,不管是你用B站還是A站,你自己的信息保護(hù)都需要你自己來(lái)注意的。作為一個(gè)視頻網(wǎng)站來(lái)講,可能關(guān)聯(lián)性的是用戶賬號(hào)、密碼,有可能你是一站通行的情況(用B站也是這個(gè)賬號(hào),用A站也是這個(gè)賬號(hào),密碼都一樣的),所以一旦某一個(gè)站點(diǎn)出現(xiàn)泄露,就會(huì)導(dǎo)致關(guān)聯(lián)賬戶出現(xiàn)泄漏。尤其是產(chǎn)生撞庫(kù)的風(fēng)險(xiǎn)。

    二是很多時(shí)候你是用關(guān)聯(lián)的模式去做管理?,F(xiàn)在賬號(hào)之間會(huì)有通用模式,所以這可能會(huì)造成一系列的泄露,那么可能在某一個(gè)站點(diǎn),比如B站你泄露了你的一些視頻的欣賞習(xí)慣,或者有些位置信息,收藏癖好等,但是這些信息拿去撞別的,比如電子商務(wù)的一些購(gòu)物站點(diǎn)之后,就能撞出更多信息。

    所以每個(gè)環(huán)節(jié),你都要做一定的自我保護(hù),泄露這件事不能說(shuō)你覺(jué)得這沒(méi)啥,我在上面就是看個(gè)片。不能有這種僥幸心理。

    ?

    總結(jié)

    安全更多的還是自個(gè)的事,要擦亮一雙眼睛,做好更多的防范工作,最關(guān)鍵的一點(diǎn)不要所有的網(wǎng)站都是同樣的密碼,不要給他們有撞庫(kù)的可能性。

    這一次B站源代碼泄露的事,再一次給我們敲響了一個(gè)警鐘。以后不管是B站還是A站還是D站還是E站F站,還是BAT等等,我們都應(yīng)該吸取教訓(xùn)。

    ?注釋:

    圖片來(lái)源于網(wǎng)絡(luò),如有侵權(quán)請(qǐng)私信聯(lián)系后臺(tái)

    極客網(wǎng)企業(yè)會(huì)員

    免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

    2019-05-07
    源碼泄漏B站裸奔,天災(zāi)還是人禍?
    萬(wàn):這個(gè)影響要從幾個(gè)方面來(lái)看:一個(gè)是泄漏的代碼是當(dāng)前業(yè)務(wù)本身在用的代碼,還是以前的?關(guān)于Github上這種分享,如果違反了公司的規(guī)定,要接受一定經(jīng)濟(jì)或者人事上的處罰,也有可能要評(píng)估一定的損失,所以損失

    長(zhǎng)按掃碼 閱讀全文