什么仇什么怨，前員工泄露大疆源代碼被罰20萬

最近，雷鋒網編輯朋友圈被一則“泄露公司源代碼造成超百萬損失，大疆前員工被罰20萬、獲刑半年”的消息刷屏了。

事情是這樣的，2017年9月初，大疆的漏洞舉報郵箱收到一封來自安全研究員 Kevin Finisterr 的海外郵件，對方稱在 GitHub 代碼分享社區上，發現有包含大疆源代碼等重要敏感信息的鏈接。攻擊者可以通過其獲取SSL證書的私鑰，并訪問存儲在大疆服務器上的客戶敏感信息（諸如用戶信息、飛行日志等私密信息都能被下載）。

大疆調查后發現，這事居然和某位前員工有關。據悉，這位員工畢業于著名高校，在大疆的子公司擔任軟件工程師，曾負責編寫農業無人機的管理平臺和農機噴灑系統代碼。

他曾在 GitHub 網站上開設了賬號，并建立了“公有倉庫”。之后，其通過一個計算機指令，將含有公司農業無人機的管理平臺和農機噴灑系統兩個模塊的代碼上傳至 GitHub 網站的“公有倉庫”，造成了源代碼泄露。

Kevin Finisterr 在推特公布泄密員工的郵件

【圖片來源：南方都市報】

經鑒定，這些泄露出去的代碼已用于大疆農業無人機產品，屬于商業秘密。目前該員工已自首，此次泄露事件給大疆造成經濟損失116.4萬元人民幣。

法院于近日作出一審判決，以侵犯商業秘密罪判處大疆前員工有期徒刑六個月，并處罰金20萬人民幣。

公司源代碼被員工有意無意泄露的事件太多了。

4月22日，B站的網站后臺工程源碼遭惡意泄露，被一個名為“openbilibili”的用戶放到了開源項目平臺Github上。內容包含了項目規范和負責人信息兩部分，后者還涵蓋了詳細的業務、具體負責人等信息。在上線不到 6 小時的時間里，該repo斬獲 5000+ Star，6000+Fork。

當天17:30 左右，Github 才徹底刪除了該倉庫。事后，B站發表聲明稱，泄露的部分代碼屬于較老的歷史版本，并且已執行了主動防御措施。

多方爆料都將這起泄露事件指向內部員工蓄意報復，但這些與不知被拷貝了多少份的源碼隱患相比也不甚重要了。畢竟，如果有人想通過后端代碼攻擊B站，無需再進行逆向工程猜測運作原理和漏洞位置，可以直接從源碼中找到很多漏洞。

在此之前，今年2月，某云代碼托管平臺因項目權限設置存在歧義，導致開發者操作失誤，造成至少 40 家以上企業的 200 多個項目代碼泄露事件同樣鬧得沸沸揚揚。爆料者稱，之所以出現這種情況，可能是因為這些公司的程序員在給項目建庫時操作不當，將項目權限設置成“平臺公開”。

因為當時的某云代碼托管業務還是全英文平臺，可能很多企業在創建項目的時候會誤選擇“internal”，也就是“平臺公開”。

隨后，某云在其新浪微博上發布了關于 Internal 訪問權限的說明，稱已增強了對 Internal 權限的中文注解，并發出全站通知提醒。

【圖片來源：鉛筆道】

更早些時候，2018年2月，一位名為 "ZioShiba" 的用戶在開源代碼托管平臺 GitHub 上泄露了蘋果公司專有的 iBoot 源代碼。

根據蘋果公司的聲明，遭到泄露的是兩年前 iOS 9 的源代碼，與現在相隔甚遠，不會導致大規模安全事件。但仍然可能被相關 iOS 安全研究人員和越獄愛好者加以利用，在 iPhone 鎖定系統中發現其他新的漏洞。

這起源代碼泄露事件也與員工逃不開關系，據說某員工在蘋果工作時，在幾位越獄愛好者朋友的 " 慫恿 " 下拿來了 iBoot 源代碼以及其他一些尚未泄露的代碼，并分享到了五人小群體中。這位員工很有求生欲地表示，自己只是想拿到源代碼進行相關的安全研究，完全沒有任何對蘋果的不滿。

源代碼之于互聯網公司是核心競爭力，企業能否在同行中展露頭角，具備核心競爭力，源碼的保護起到了決定性的作用。

知乎上有不少如何防止源碼泄露的相關問題，底下網友們的回答各有特色：

知乎網友章孜，

大多數軟件公司是依靠程序員的自尊心，泄露出去實在特么丟人啊……

知乎網友蘿魏紫：

我司的代碼，所有能接觸到的人都一致認為，泄漏出去也沒關系，自帶混淆不說，搞懂的effort遠大于再造一套新的代碼的effort。

知乎網友cnsinda：

目前我所知道的對源代碼加密的辦法有兩種：一種是物理性的“源代碼加密”，一種是軟件性的源代碼加密。

物理性“源代碼加密”就是指截斷外網，封掉U口或者鎖機箱，讓開發者處于一種封閉的狀態。這種方法是可以達到效果的，弊端就是如若封掉U口，對于員工的工作使用會造成很大的影響，大大降低了工作的效率，并且員工開發查資料很不方便，如若給每人配一臺電腦，公司的成本將大大提高。這樣的操作方式員工的抵觸心里也會頗大。

軟件性的源代碼加密是指通過軟件對源碼進行保護。目前市面上最流行的源代碼加密軟件機制是一種對開發人員的操作環境進行加密的軟件，不用對任何硬件做修改，開發人員的源代碼只能存放在公司范圍里，拿不出加密的空間。如果想要拿出文件的話則需走審批流程。

知乎匿名網友：

只要寫得爛，泄露就沒辦法被別人用。

總體來說，源碼泄露這事，從企業層面應該采用種種手段進行防御，作為員工個人，別那么想不開。

雷鋒網文章參考：

南方都市報《泄露公司源代碼造成超百萬損失，大疆前員工被罰20萬、獲刑半年》

雷鋒網《阿里云代碼托管平臺上多家企業誤開放訪問權限，誰的鍋？》

知乎

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。