毕业半年的憨憨,将公司的代码上传到GitHub上了

748 阅读3分钟

周一大清早,刚上班。

”Tw, 你那个事情是怎么回事?“,部门开发领导刚到办公室,就对着刚毕业半年的tw同学说到。

tw思考了0.5秒后说:“对账单的事情我知道了,正在处理。”

领导:“对账单你妹啊,你知道什么事情吗,公司的代码怎么传到GitHub上去了?”

image-20200708203236827

事出有因

这时才知道事情的严重性。原来是因为公司的安全部门监控到了公司的代码被人上传到了GitHub,并将这事上报给了CTO,CTO马上找到了我们部门的开发领导,说我们部门的人将公司的代码上传到网上,并涉及到部分密钥、密码等敏感信息的泄露,可想而知,领导肯定被CTO批评了一通。

image-20200708203252024

之前,在B站的时候,也遇到过一次有一个离职的同事因为和公司有过节,离职后匿名将公司的代码传到了网上,消息在网上快速传播,短短一段时间这个项目就被fork6000次,star9000次,业务源码被好奇宝宝们扒光衣服看的通透,大数据杀熟、大骂产品等相关的代码注释也让不少吃瓜群众大饱眼福。

为什么公司禁止员工将代码上传到网上

首先是代码中有一些敏感的信息比用数据库连接信息,一些公私钥等,在公网上传播时会被不法的用户获取后会恶意的破坏系统,后果非常严重,可能会导致公司业务停摆、股票大跌、甚至破产,相关人员也会受到法律的严惩。

image-20200708203304604

其次是相关的业务细节被暴露也容易被人利用系统漏洞恶意攻击,同时相关的商业操作也会被竞争对手知道,一些不应该被用户知道的事情也会导致用户的流失。

image-20200708203317588

如何避免类似的事情再次上演

  • 公司加强代码管控力度。作为互联网公司,数据就是生产力,强化数据安全。使用内网通讯,监控公网通讯。
  • 加强外部监控。在最短的时间内发现公网上公司相关的代码信息。
  • 提高员工的安全意识,强调未经允许上传代码的危害。
  • 做好代码权限划分。不同的人员拥有最小的相关权限。

本次代码上传的原因及最终的处理结果

最近,正好公司在各个研发部门中推行安全整改的事情(目前的老东家做支付,有不少商户的敏感信息),又遇到部门同事将公司的代码推到了GitHub上,真是祸不单行啊。删除仓库后,Tw又被领导叫去谈话也被批评了一顿,然后领导把我们一组十几个研发叫到会议室有开了一个会,专门强调这事,并安排项目的整改把相关的敏感信息修改掉并放到apollo中去。

然后整的tw这哥们今天郁闷了一天,由于代码上传时间短,还没有被人fork,也考虑是tw刚工作,上传代码的目的是让另一个刚毕业半年的同事看,就没有做其他的处理,但是全公司通报批评肯定是少不了的。

希望大家要引以为戒,不要擅自将公司的代码上传到网络上去,后果很严重。

完成,收工!!

传播知识,共享价值】,感谢小伙伴们的关注和支持,我是【诸葛小猿】,一个彷徨中奋斗的互联网民工。