本篇文章1337字,读完约3分钟
阿里安全团队的四名程序员写了一个js脚本,利用spike应用程序的缺陷来抢购月饼,最后被解雇了。剩下的一个属于阿里巴巴云,处理结果还在讨论中。
事实上,许多人不理解这一事件,但这是一个小程序抢购内联网。我写了一个剧本来刷更多的月饼,没有抢鸡蛋。我没买就向人力资源部报告了。我怎么会被解雇?那么,作为安全小组的组长,你如何看待这件事?为此,《雷锋》的编辑。搜索“雷锋”。com“公共账户”)与几名安全小组负责人交谈,听取他们的意见。
360无线电硬件实验室负责人杨青:
如果我们在这里,跪下的人将是写平台的人。
根据360信息安全部门多年的工作经验,如果发生月饼事件,发现漏洞的安全人员(毕竟我们有太多的“黑客”)会及时向信息安全部门报告,我们会督促有漏洞的业务系统R&D人员进行修复。
此外,该公司的研发伙伴早已习惯于被我们严格的安全标准“滥用”。安全使命感将使每个人迅速做出反应,并与我们合作,以弥补漏洞。当然,不会有人辞职。毕竟,360是一个以安全文化为导向的企业。我记得有一次我们发现一家假日公司的礼品选择平台有漏洞。我们的安全人员测试了漏洞,并订购了大量超出限额的礼物,这破坏了数据库。最后,我们公司的行政mm非常耐心。
知道张祖友的人,于闯seebug漏洞平台的负责人:
技术人员写脚本代替手工工作是正常的,否则会有各种各样的软件。至于脚本失控并抢劫了这么多人,第二个kill应用程序本身就有缺陷,编写脚本的人并不认为这是正常的。
根据客户的陈述,我认为这么快就解雇人是没有意义的,但我不能理解这一点,因为开车有点快。
无论如何,我不认为技术是有罪的,但是第二个抓举程序有一个漏洞,这导致了一系列的问题。此外,如果当事人只是说要抢一盒月饼,我不认为用脚本抢月饼有什么问题,我也不是指恶意倒票行为。然而,除非有些公司有规定,否则有些公司是有底线的,一旦他们违反了法律,他们就无话可说,这是可以理解的。
360网络攻防实验室的老板林伟:
我对阿里月饼事件的个人看法:这件事可以变坏事为好事。,
1.用月饼作为奖励,鼓励安全研究人员发现漏洞
2.批评业务部门没有参与测试过程并承担主要责任。
3.安全检测部门应提出改进计划,以避免未经检测就发现问题。
4.如果你已经要求安全人员这样做,当我没有说出来...
5.营业部保护过度,大家的心都丢了,阿里安保人员都有危险,团队也不好带...上面,每个人都仔细品尝...
6.如果你给四个学生,最好是不假思索地更换领导。
你解雇了你的老板,不是你的老板。有很多队在等着抢你。企业文化非常重要,一个好的领导者非常重要。
当然,也有相当多的阿里实践——
知名上市公司副总裁、高级安全人员:
这是一个相当特殊的问题,因为信息安全行业或岗位本身就是一个审计/保护/监督的角色,这实际上破坏了信任关系。古希腊人说过:能力越大,责任越大。信息安全从业者应该鼓励自己。
虽然最终没有付款,但暂停“犯罪”并不意味着不需要承担责任。
一个大公司有一个大森林和规则是可以理解的,但是如果抓住一个月饼(写一个脚本来测试漏洞)的问题上升到价值,这将使技术人员有点不寒而栗。
然而,阿里月饼的馅料是什么?很好吃吗?给吃过的朋友留言。让我们谈谈价值观。