阿里安全团队的4个程序员利用秒杀应用缺陷写个js脚本抢购月饼,最后被开除了。剩下那个属于阿里云,处理结果还在讨论中。
这个事件其实很多人不解,不过是在内网抢购的小程序,写了个脚本刷多了月饼,又没有抢鸡蛋,没购买就报告给HR,怎么就被开除了呢?那么,作为安全团队的leader,都是如何看待这件事的?为此,雷锋网(公众号:雷锋网)编辑和几个安全团队负责人聊了下,来听一听他们的看法。
360无线电硬件实验室掌门人 杨卿:
如果在我们这,跪的会是写出那套平台的相关人员。
以在360信息安全部多年的工作经验上假想,如果出现了月饼事件,发现漏洞的安全人员(毕竟我们这"黑客"太多)一定是会及时报告给信息安全部,由我们督促存在漏洞的业务系统的研发人员进行修复。
而且公司研发的小伙伴早就习惯了被我们严苛的安全标准所"虐待",安全的使命感会让大家快速响应并配合我们将漏洞修复,肯定不会有什么被离职的情况发生,毕竟360是以安全文化为导向的企业,记得有一次我们发现某节日公司发礼品自选平台有漏洞,我们的安全人员边测试漏洞边超限订了一大波礼品,把数据库搞乱了,最后是我司行政MM们很耐心的一个一个给员工打电话核实所选礼品,一点都没有生安全攻城狮的气哦(¬‿¬ )
知道创宇 Seebug 漏洞平台负责人 张祖优:
技术人员写脚本代替人工很正常,不然怎么会有各种软件出现。至于脚本失控抢那么多,有秒杀应用本身缺陷在,写脚本的人没想到很正常。
按当事人说法那么快开除我觉得说不过去,上升到价值观,这个我其实没法理解哈,开人的速度有点快。
反正我觉得技术无罪,只是正好碰上秒抢程序上有漏洞,于是产生一系列问题。另外,假如当事人说的只是为了抢一盒月饼,我不觉得用脚本抢有什么问题,又不是说恶意的黄牛行为。不过如果有公司有规定除外,有些公司有底线,一触犯就没二话可言,这能理解。
360 网络攻防实验室老大 林伟:
阿里月饼事件我个人的几点意见:这个事情完全可以坏事变好事。,
1、把月饼作为奖励鼓励安全研究人员发现漏
2、批评业务部门没走测试流程承担主要责任,
3、安全测试部门应该提出改进方案避免不提测就发现不了。
4、如果已经提测安全人员做了这个事情,当我上面没说……
5、过度袒护业务部门,人心皆失,阿里安全人员人人自危,团队不好带了……以上,各位细细品味……
6、给四位同学的话,做事不动脑,不如换领导是你们开除了老板,不是老板开除了你,有大把团队等着抢你们,公司文化很重要,一个好领导很重要。
当然,也有挺阿里做法的——
知名上市公司VP,资深安全人士:
这个事挺特殊,因为信息安全行业或者岗位本身是一种审计/保护/监督的角色,这种行为其实打破了信任关系。古希腊人说:能力越大,责任越大。信息安全从业的人员应该以之自勉。
虽然最后没有付款,但是“犯罪”中止不代表不需要承担责任。
大公司林子大,有规则是无可厚非的,但是抢个月饼的事儿(写个脚本测试出了漏洞)上升到价值观是不是就有点让技术人心寒了。
不过,阿里月饼是什么馅儿的,有那么好吃吗?吃过的小伙伴留个言呗,我们来聊聊价值观。
本文作者:小芹菜
本文转自雷锋网禁止二次转载,原文链接