我靠，今日看新闻看的不能忍了。

最开端，我看的是这条新闻 github 上 fork 了一个项目，有人发 PR 让我删掉，我该怎样办？ 。这个前几天比较火，各种可乐。同类的音讯来源还有这儿 在 GitHub 上面走漏了公司源码怎样办？ 。然后我在里边看到了乌云上的这个缝隙 苏宁某站企业信息走漏(推广+结算+报表等) 。

事实是，其实在很久以前，这个库房现已走漏了。比较让我想吐槽的是厂商点评，缝隙等级，中？

中？

中是什么概念？在本公司内部鉴定中，对非要害渠道产生影响的缝隙被点评为初级，对要害渠道产生影响的点评为中级。凡举严峻信息走漏，DOS，履行恣意代码，一旦查验的确，通通是高档缝隙。依据公司规则，快速呼应时刻是24小时。

那么多中心材料的上传，苏宁竟然仅仅点评为中？送礼品卡？我靠，这种缝隙莫非不是马上点评为更高危险缝隙，然后去和github的人交涉去删去repo么？那TM在一两个月前库房应该现已删光了。并且发现者发的竟然是——礼品卡？

或许腾讯结算薪酬的时分能发Q币，可是苏宁的礼品卡，这汇率怎样定呢？

好吧，咱们就先不吐槽职工的下限了，上一篇刚刚吐槽过。咱们仍是说正经的，你的代码要是不小心走漏到了github上怎样办？

首要，联络github去删去这个repo。

其次，里边一切涉及到的要害当地都需求改掉，例如暗码，内置的参数，等等。能改的全改了。

最终，把这个代码自己开源发布出去。

是的。库房一旦走漏，就永久走漏了。一帮人在评论github上怎样删去清空库房，其实什么用都没有。由于那么多人，总有人会clone到本地。然后工作就变得无聊了——你莫非去硬盘上删去么？

咱们也从前发作过相似的工作。在和某闻名缝隙渠道协作浸透自己的时分，被白帽子拿到了一个办理用的repo，里边有一些key。结局便是严峻安全缝隙。出问题的缝隙快速关闭，紧迫查看走漏状况，走漏出去的key悉数替换一遍。涉事职工点名批判，有人被吊销了权限。整套办理机制都被review一遍，拉去整改。咱们查看过日志，准则上说，只要咱们和攻击者（也是友方）有访问过这个repo。咱们不质疑协作方的专业性，可是假如盼望这就没事了，能够当作没发作过了，那么便是咱们的渎职和不专业。在这种状况下，就只能假定咱们的这些key在外面满天飞了。走运的是，这些key替换后就能够根绝问题，不会由于这些key从前走漏导致新的key有危险。并且相关体系日志标明，攻击者并没有进一步使用这些key，数据也没有发作进一步的泄密。可见咱们的协作方仍是很专业的。

后边更low的来了。twitter上有这么个音讯： V2EX 上现已有回复的主题，不会被删去。请苏宁云商不要再经过各种渠道打扰我了。你们的代码走漏了，最重要的工作是内部操控和交流，而不是想着来调和整个互联网上关于这件事的评论。 。

我靠，之一时刻被雷的天雷滚滚。

我知道互联网上这种捂盖子的工作很一般。可是是怎样回事，脱离捂盖子就不会干事做人了么？

作为一个企业，要想安全的根底，首要是不要讳言自己不安全。你得供认，企业里边人多手杂，每个人水平也有凹凸之分。没有什么企业是真实安全的。可是最起码的，你得供认，自己会出事端。假如不会出事端，那咱们还需求缝隙渠道做什么呢？你还承受他人的正告做什么呢？这种“捂盖子”的主意，其实和缝隙点评中是一脉相承的。我大企业万世无忧，在商场上正面打败对手才是工作的关键。这种工作仅仅芥藓小疾缺乏为道，打发要饭似的打发一点，不要惹出新闻就得了。等出了问题，更多的也是考虑体面和公关问题，而不是安全问题自身——这根本不是一种对用户担任的情绪。

当然，作为公司，咱们更期望缝隙的发现者和咱们交流。更好缝隙便是咱们自己发现的。发现者和缝隙产生者的联系越近，缝隙上花费的本钱越低。假如是同部分的，大约只要请吃顿饭。假如是同公司的，估量就会被批判一顿。假如是友商，那就或许涉及到处分。而假如发现者都不向公司报告缝隙了，这其实不是代表公司没事了，而是代表黑产很高兴。