阿里云回應“源代碼泄露”：用戶可手動更改訪問權限

每經記者｜宗旭    每經編輯｜魏官紅    

2月22日上午，微信公眾號“鉛筆道”發布文章稱，阿里云出現源代碼泄露，造成至少40家以上企業的200多個項目代碼泄露。其中涉及到萬科集團、咪咕音樂、51信用卡旗下51足跡、百度無人車合作伙伴ecarx等知名企業，問題至今未完全解決。

據文中爆料人張中南猜測，之所以出現這種情況，可能是因為這些公司的程序員在給項目建庫時操作不當，將項目權限設置成平臺公開，“因為之前的阿里云代碼托管業務還是全英文平臺，可能很多企業在創建項目的時候會誤選擇‘internal’，也就是‘平臺公開’。這造成在阿里云效平臺上，只要登上賬號，就能瀏覽到很多公司的‘內部’代碼。”

隨后阿里云代碼托管團隊對此事發表回應，稱云效平臺旨在為開發者提供代碼托管與交流服務，提供了Private（私有）、Internal（站內登錄可見）、Public（完全公開）三個訪問權限選項。默認代碼訪問權限為Private（私有），用戶可以手動更改為其他選項。

對于爆料人提到的“未能及時優化和解釋有歧義的英文權限”的問題，阿里云代碼托管團隊稱，在2018年9月底已經增強了對Internal權限的中文注解，并于昨日發出全站通知提醒，“我們正在逐一通知之前將訪問權限設為Internal的開發者用戶，確保大家正確理解該訪問權限的含義。任何產品功能理解上的歧義，都說明我們在產品設計和用戶體驗上做得不夠好。我們正在評估、改進相關產品設計，讓所有開發者有一個更安全、清晰的使用體驗。”

據了解，云效平臺創立于2012年，孵化自阿里巴巴B2B部門，是一站式企業協同研發云，提供從“需求-開發-測試-發布-運維-運營”端到端的協同服務和研發工具支撐。換句話說，也就是能夠提升研發效率，幫助企業快速升級迭代產品。目前云效平臺覆蓋了阿里60%的事業部，支持著阿里巴巴、速賣通、1688、村淘等網站。

（封面圖來自每經資料圖）