阿里云泄露40家企業托管代碼?

作者：天晴創藝發布時間：2/23/2019 9:12:18 PM瀏覽次數：11991文章出處：公司網站制作

0、阿里云泄露企業托管代碼？
據鉛筆道報道，上海一家科技公司的后端工程師，歷時半年，義務“為阿里云查 Bug”。他發現，阿里云代碼托管平臺的項目權限設置得有歧義，用戶在上傳代碼時，可設置 private、internal 和 public。
很多開發者以為選擇“internal”，就是安全的，于是選了此選項。但是正因為此薩哈林禮品網，已有包含萬科、咪咕音樂、51信用卡等40家企業在內的200多個項目代碼被泄露了。
目前，阿里云官方微博已作出回應，其表示：

阿里云泄露代碼

阿里云泄露代碼

對此，開發者的反應各有不一，有人認為 Internal 一詞在國內更多被翻譯為內部，國外則更多理解為平臺公開，國內外對于同一詞匯的理解存在誤差，阿里云應該給出更加具體的說明

阿里云泄露代碼

阿里云泄露代碼

對于被提到的幾家代碼公開的企業天津筑美，部分已經第一時間將狀態更改為 Private，目前該平臺已經給出醒目告警。正常狀態下，項目默認為私有搜狐新聞，手動更改請慎重選擇。
對此，你對"Internal“一詞作何理解？你認為這個鍋應該誰背呢？
1、Drupal 曝出代碼執行高危漏洞
Drupal 開源內容管理系統曝出了一個允許黑客遠程執行代碼的高危漏洞，影響數以百萬計的網站，如果不及時打補丁，這些使用 Drupal 的網站將面臨被劫持的風險。漏洞編號 CVE-2019-6340，根源在于未能充分驗證用戶輸入。
2、Eclipse Jetty 9.4.15 發布，建議使用 JDK 12
Eclipse Jetty 9.4.15 發布了，此版本包含大量的 bug 修復和改進，要點：
Java 11 有一個有問題的 TLS 實現。目前 Jetty 團隊建議使用 JDK 12，直到 JDK 12 中的修補程序被反向移植到 Java 11 TLS。
Jetty 錯誤地使用 HTTPS 端口向 HTTP 客戶端返回錯誤。
......（詳情：https://www.eclipse.org/lists/jetty-announce/msg00129.html）
3、Android Pie 引入 Keystore 新特性，安全防護再升級
Android Keystore 為應用開發者們提供了許多加密工具來保護用戶數據。到了 Android Pie 之后，Keystore 也相應加入了一些新功能。在這篇文章中，我們會詳細介紹其中的兩項新功能: 其一是通過限制密鑰的使用來達到保護敏感信息的目的；其二則是能夠在簡化安全密鑰使用的同時，防止應用和操作系統訪問密鑰資料。
4、Spring Tools 4.1.2 發布
Spring Tools 4 for Eclipse, Visual Studio Code 和 Atom 的 4.1.2 版本發布，值得關注的更新內容有：
(Spring Boot) 新特性：實時懸停信息的 @Value 注釋 (#177)
(Spring Boot) 新特性：xml 配置文件中的 bean 符號現在包含確切的位置信息。
(Spring Boot) 修復：cf 上再次運行的應用可以在實時懸停中導航到資源。
......（詳情：https://spring.io/tools/）
5、Google 研究人員稱光靠軟件不能完全避開 Spectre 漏洞
Google 研究人員警告，除非對 CPU 設計進行大幅的修改，否則很難在未來避開 Spectre 漏洞。Google Chrome V8 JavaScript 引擎團隊開發者在預印本網站 ArXiv 發表論文，報告了他們的發現。研究人員指出，光靠軟件不能完全避開 Spectre 漏洞。

，

文章來源：公司網站制作

文章標題：阿里云泄露40家企業托管代碼?

文本地址：http://m.yoyoenglish.cn/info_1127.html

【收藏本頁】【打印】【關閉】

本文章Word文檔下載：阿里云泄露40家企業托管代碼?