原标题:阿里云回应代码“泄露”:已发提醒 专家称或为理解有误
新京报讯(记者 梁辰 张大伟)2月22日,针对近日有媒体报道阿里云因权限设置存在歧义,导致万科集团、咪咕音乐等40家以上公司的代码泄露一事,阿里云代码托管团队发布声明称,接到开发者用户反馈,并表示已在21日发出全站通知提醒,并正在逐一通知开发者。
媒体报道称,一位名叫“张中南”的网络安全爱好者和上海某科技公司后端工程师爆料,半年前发现,由于阿里云代码托管平台的项目权限设置存在歧义,导致开发者操作失误,造成40家以上企业的200多个项目代码泄露。
截至记者发稿时,阿里云方面表示已经与上述提到的企业进行了通知。截至记者发稿时,51信用卡方面回应,没有受到影响,只涉及部分代码,不涉及数据,且年前已不运营了。
此外,阿里云方面回应称,收到了开发者用户的反馈。针对代码平台,阿里云提供了Private(私有)、Internal(站内登录可见)、Public(完全公开)三个访问权限选项。默认代码访问权限为Private(私有),用户可以手动更改为其他选项。
对于此次引发争议的“站内登录可见”,阿里云称,2018年9月底,已经增强了对Internal权限的中文注解,并于2019年2月21日发出全站通知提醒。同时,阿里云正在逐一通知之前将访问权限设为Internal的开发者用户,确保用户正确理解该访问权限的含义。
有行业人士告诉记者,“张中南”对上述问题的影响有些夸大。因为这里面存在一个误区,就是将设置为Internal的用户定义为泄露。因为有的是用户本身有对外交流的需要,所以就会选择设置。也存在一些阿里云的客户理解有误,从而错误设置。
本报记者陈鹏对此文亦有贡献。
新京报记者 梁辰 张大伟 编辑 程波 校对 何燕