阿里云回应“源代码泄露”：用户可手动更改访问权限

每经记者 宗旭    每经编辑 魏官红    

2月22日上午，微信公众号“铅笔道”发布文章称，阿里云出现源代码泄露，造成至少40家以上企业的200多个项目代码泄露。其中涉及到万科集团、咪咕音乐、51信用卡旗下51足迹、百度无人车合作伙伴ecarx等知名企业，问题至今未完全解决。

据文中爆料人张中南猜测，之所以出现这种情况，可能是因为这些公司的程序员在给项目建库时操作不当，将项目权限设置成平台公开，“因为之前的阿里云代码托管业务还是全英文平台，可能很多企业在创建项目的时候会误选择‘internal’，也就是‘平台公开’。这造成在阿里云效平台上，只要登上账号，就能浏览到很多公司的‘内部’代码。”

随后阿里云代码托管团队对此事发表回应，称云效平台旨在为开发者提供代码托管与交流服务，提供了Private（私有）、Internal（站内登录可见）、Public（完全公开）三个访问权限选项。默认代码访问权限为Private（私有），用户可以手动更改为其他选项。

对于爆料人提到的“未能及时优化和解释有歧义的英文权限”的问题，阿里云代码托管团队称，在2018年9月底已经增强了对Internal权限的中文注解，并于昨日发出全站通知提醒，“我们正在逐一通知之前将访问权限设为Internal的开发者用户，确保大家正确理解该访问权限的含义。任何产品功能理解上的歧义，都说明我们在产品设计和用户体验上做得不够好。我们正在评估、改进相关产品设计，让所有开发者有一个更安全、清晰的使用体验。”

据了解，云效平台创立于2012年，孵化自阿里巴巴B2B部门，是一站式企业协同研发云，提供从“需求-开发-测试-发布-运维-运营”端到端的协同服务和研发工具支撑。换句话说，也就是能够提升研发效率，帮助企业快速升级迭代产品。目前云效平台覆盖了阿里60%的事业部，支持着阿里巴巴、速卖通、1688、村淘等网站。

（封面图来自每经资料图）