请选择 进入手机版 | 继续访问电脑版

程序员,技术的“背锅侠”,盘点 2020 年面向监狱编程的那些事!

[复制链接]
奇奇女 发表于 2021-1-2 12:14:13 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题

【CSDN 编者按】已往一年,“删库跑路”、安全毛病等事件层出不穷,企业、技能人深受其害,作为一名步调员,在新的一年即将到来之际,我们该如何制止面向牢狱编程?
作者 | 马超       责编 | 张红月

出品 | CSDN(ID:CSDNnews)

2020 年转眼间白驹过隙般飞奔而去,在岁末年初的当口,笔者在回首这一年步调员世界的大事件后,突然发觉如何制止步调员面向牢狱编程是个特别值得一谈的话题。


已往一年的「删库」回想录

这几天一款秒杀茅台酒的 Python 项目,突然在 GitHub 上火了起来,不外遐想到年初 Pandownload 事件主角因贩卖不限速网盘工具而开罪的新闻,笔者不禁为这个项目的发起人略感到担心。
固然制止面向牢狱编程并不是平常步调员才要思量的问题,9 月末百度元老史有才因涉及非法为赌博网站推广而被警方带走,可见就算你身居高位也无法包管安全。
而部门公司权限分配不公道,加之步调员在工作期与单元已经发生严重抵牾,这样的情况下极度的删库跑路事件也是时有发生,如微盟的焦点数据库于 2020 年 2 月 23 日 19 点被员工恶意删库,直到 3 月 3 日上午 9 点数据才规复正式上线。针对事故给客户造成的影响,微盟准备了 1.5 亿元人民币赔付拨备金,此中公司负担 1 亿元,管理层负担 5000 万元。
如果说上述情况不算是无心之过,那么本年年初某个步调员因为接了个外包,帮别人写了个软件,效果因软件涉赌锒铛入狱 456 天的刷屏新闻,还念念不忘。
所以看似被动的接外包实在也不安全。更遑论 P2P 公司暴雷、老板跑路但步调员背锅被抓,而中科大博士业余时间写“外挂”非法牟利被捕,诸如此雷同乎也在说明步调员是个相当高危的职业。
就算不去 P2P 公司、不接外包、不做外挂,只是业余时间写个开源软件也大概招来灾祸,去年年底,Nigix 之父 Igor Sysoev 的前东家 Rambler 团体对Nginx 提出了侵犯版权的诉讼,而被警方带走观察,Rambler 声称 Igor Sysoe 在任职期间所有的开发效果均属于 Rambler 团体所有,因此该公司才是Nginx 项目的正当所有人。
业余时间的开源项目做得好被招妒忌这个还可以明确,而本天职分的完成职责内的开发任务也大概被“杀”了“祭天”,美团大数据杀熟事件以及年初原油宝负油价事件,技能原因和系统问题全部被定性为罪魁罪魁。
不外最吊诡的情况是在步调员成为技能“背锅侠”的同时,重大的信息安全事件也层出不穷,比如一个月前的感恩节期间,富士康在墨西哥的一家工厂遭受了名为 DoppelPaymer 打单软件攻击,黑客在此之前偷窃了未加密的文件,进而在入侵之后对设备举行了加密处理处罚。克日, DoppelPaymer 打单软件在其打单软件数据泄漏站点上发布了属于富士康的文件。泄漏的数据包罗通例业务文档和陈诉。

随后黑客要求代价 3400 万美元的比特币作为赎金,而美国司法部也在日期公布了黑客组织 Sandworm 的质料,他们对于平昌冬奥会、2017 年法国大选都发起过攻击。固然在这种大规模网络攻击上,美国安全部门也是十分的出圈,根据斯诺登的曝料 2010 年他们就举行过实验,使用 30 行代码炸毁了 27 吨的发电机。而民用设施的毛病则更多了,他在 2010 年 Blackhat 大会一名来自于新西兰的步调员 Jack 公开演示了如何黑掉 ATM 机使 ATM 随意吐钱;随后 Jack 又在 2012 年的 Blackhat 大会上展示了如何攻击心脏起搏器和除颤器。
那么,作为一个 IT 界的一员,如何制止这些坑呢?又如安在出现问题时尽大概的掩护好自己?
下面笔者就和各位共同探讨一下在这样一个"一半烈火,一半海洋"的大配景下,作为步调员如何制止面向牢狱编程,而企业又如何只管制止黑客攻击所带来的损失。

使用 IDaaS 云身份认证系统为焦点

自 2006 年“云盘算”概念诞生以来,企业上云海潮席卷全球。由于企业上云后可机动使用资源、扩展机动易管理的业务模式、提高资源设置效率、低落信息化建立本钱。
业界有说法是“系统上云后,硬件投入本钱淘汰近 2/3。 “企业上云还能享受到的一大优点是基于硬件的数据安全本领。云厂商具备的盘算资源规模优势等先天条件,使得其可以借助加密盘算等多种前沿技能来包管用户数据安全,以增强企业上云的安全性。
不外令人遗憾的是许多企业上云之后还由于惯性沿用之前的身份认证系统,而传统身份认证体系最主要的认证方式就是“用户名、口令”,此前,微盟等删库事件之所以会发生,其根本原因就是接纳传统的身份辨别方式,因为用户名、口令的机制很容易由于人为因素大概制度安全体系的毛病导致泄漏大概被推测出来
IDaaS(身份即服务),才是云盘算时代的身份识别和访问管理系统,它提供了单点登录、强大的认证管理、基于战略的会合式授权和审计、动态授权、企业可管理性等功能。
IDaaS 的办理方案完全舍弃了用户名、口令的传统方式,它可以根据用户的登岸所在、时间及终端等等信息综合授予用户相应权限,而且还对用户对态调解,相较于传统安全外挂式、本钱贵的缺点,优势十分显着:


  • 本钱低廉、制止重复造轮子。传统安全方案需要企业需要采购几十甚至上百个安全产物才气开端创建企业安全体系,本钱高昂不说,对于安全体系来说这也是一种重复建立的浪费。而 IDaaS 作为一种云服务其本钱优势不问可知。
  • 传统安全模子是游离在 IT 体系之外的外挂式安全。企业在使用网络、存储、数据库等 IT 根本设施时,往往采购自差别的厂商,安全产物也有差别的品牌。于是只能在根本设施外摆设相关的安全产物,做“外挂式的安全”。如何能让安全产物与产物间,安全产物与根本设施间做更好地联动?这对于传统安全厂商来说,是个较大的挑战。
  • 大幅低落使用门槛。之前安全产物俨然成了企业的“奢侈品”:企业光购买安全产物没有用,必须有专门的安全人员来使用才气真正发挥效果,于是线下安全厂商大多接纳产物加服务的销售方式举行。但是,由于无法构成相对联动的体系,导致企业需要招聘许多安全专业人员来运营,本钱增大,导致多数企业没有足够的专业安全人员来运营。而云安全也真正让云盘算变成一种普惠科技走入千家万户。
因此企业在全面触云之后,当务之急就是要将自身原有的安全认证体系升级到IDaaS 平台,只有使用云安全产物,才气真正包管企业信息资产的安全。
不外现在 IDaaS 范畴还处在一片蓝海当中,向客户提供 IDaaS 集成服务的厂商只有阿里云,而可以支持单独提供 IDaaS 服务的也只有 Authing 身份云等有限几家初创企业,因此笔者这里也命令各大云厂商尽快将 IDaaS 服务集成到自身的云平台上,正如我们刚刚所讲,如何均衡安全与本钱之间的关系实在是摆在各行业眼前的困难,而 Authing 身份云的 IDaaS 服务恰恰是办理此类问题的关键所在。

多方安全盘算客户隐私掩护的关键

别的,隐私在如今的大数据时代,一直成为业界及消费者关注的重点之一。不外近期,在区块链技能的加持下,多方安全盘算办理方案成为掩护隐私的突破口。
现在由区块链构建的数据代价交换经济生态,已经成为多方安全盘算的算法底座,此中交换标的物是数据资产的使用权,交换前言是基于隐私盘算技能的数据代价交换网络,到场者是数据的供应方和需求方。
最终,区块链技能可以来生存各种数据生意业务纪录,让整个生意业务过程清晰可见并可追溯,并以它为根本来实现数据的计量计价,以及探索未来的各种基于场景或贡献度的数据计价。通过隐私盘算和区块链技能联合,所有业务到场方可以合规、正当和可一连地把有代价的数据引入到安全盘算的厂景中。
正是在这样广泛应用前景之下,Gartner 预估三年之内数据要素市场可以有 10倍的增长,成为一个千亿级别的市场。不外多方安全盘算既要求有强大的互联网技能配景,也要充实明确传统行业的运行逻辑,因此这个范畴内实在玩家更少,尤其是思量到多方安全盘算从短期看对于巨头的数据把持是倒霉的,因此这个范畴也就成了巨头不愿意做,而初创企业又做不来的局面。

规定底线,涉挂、涉黄、涉赌果断不碰

除了上述给整个行业的发起外,下面我们来简朴谈一下详细到我们每个步调员如何制止自己踩坑,首先要着重强调的是底线千万不能碰
固然大概也有人会拿菜刀无罪的说法来辩白,写个软件我也不知道最终会被用在那边,为此笔者咨询专业人士,得到的结论是,刑事责任关注要看当事人是否有主观故意。
根据《最高人民法院、最高人民查察院、公安部关于管理网络赌博犯罪案件适用法律若干问题的意见》中关于网上开设赌场共同犯罪的认定和处罚规定:
明知是赌博网站,而为其提供下列服务大概资助的,属于开设赌场罪的共同犯罪,依照刑法第三百零三条第二款的规定处罚。
也就是说,如果作为步调员,只要你知道自己写的代码将被用于赌博,大概别的明知道是违法大概大概违法行为的情况下,继续为其提供技能支持,都是大概冒犯刑法的。步调员一定要远离这些,固然这里还要特别说明一下 P2P 和外挂,也必须第一时间撇清。
P2P
此前,有脉脉用户发帖称"P2P公司暴雷,前端步调员被捕。

对于这种做互联网金融的企业的步调员,需要多多相识一下自己公司当前的主营业务是否正当、是否涉及到非法集资违法行为,如果有这个苗头照旧赶早远离。
外挂
在我国的司法界说中,外挂是指使用电脑技能针对一个或多个游戏,通过改变软件的部门步调制作而成的作弊步调。制作贩卖游戏外挂也是会受到我国司法构造打击的犯罪行为。
根据开发者制作的差别的外挂范例,以及使用方式等,根据以往案例,大概冒犯非法筹谋罪、粉碎盘算机信息系统罪以及侵犯著作权罪等。

爬虫存在风险

根据最新的流量分析,互联网 40% 左右的流量都是呆板人也就是爬虫发起的。而有关爬虫的法律问题,笔者特意咨询了单元法务部门的同事,根据我国的《刑法》、《网络安全法》的规定,爬虫大概涉及到的犯罪行为有如下情况:

  • 首先侵入国家事务、国防建立、尖端科学技能范畴的盘算机信息系统的,岂论情节严重与否,构成非法侵入盘算机信息系统罪。
  • 违反国家有关规定,向他人出售大概提供公民个人信息,构成“侵犯公民个人信息罪”。也就是说通过出售个人信息赢利大概侵入含有国家秘密的系统均会构成犯罪,但这两种情况均不会是无心之过,但是以下规定需要格外注意。
  • 违反国家规定,对盘算机信息系统功能举行删除、修改、增加、干扰,造成盘算机信息系统不能正常运行,结果严重的,构成犯罪。也就是如果使用爬虫的抓取力度过大,造成被攫取的网站无法正常运行的情况,并造成严重结果的也会构成犯罪。我们前文所述巧达科技的步调员也是因为爬虫流量太大,造成目的网络靠近瘫痪,而涉嫌冒犯此条被捕。
别的为制止别的民事纠纷,要只管遵守 Robots 协议。Robots 协议是一种存放于网站根目次下的 ASCII 编码的文本文件,它通常告诉网络搜索引擎的周游器也就是爬虫,此网站中的哪些内容是不应被爬虫获取的,哪些是可以被爬虫获取的。严格按照 Robots 协议 爬取网站相关信息一般不会出现太大问题。
因为司法实践中一般也会思量行业的通行规范,因此一般遵守 Robots 协议得到的信息不会被认为是商业秘密大概个人隐私数据。大概说遵守协议所得的信息纵然涉密其泄密责任一般也不会由爬取方负担。

全面增强版权掩护意识

2018 年,北京市公安局通报了一起私自开通公司多个重要技能项目访问权限,下载公司独立开发的三个项目源代码并倒卖牟利的案件。

根据通报,陈某在去职前夕,通过非法手段提高自己系统操纵权限,从而获取全部的焦点代码,并通过自己的账号举行下载,去职后将代码带出,倒卖赢利八百万元。这里需要指出的是,步调员在工作时间开发的代码版权是完全属于所在单元,把自己开发的源代码拷回家是一件非常危险的事情,而相关案例更是家常便饭。
2010 年,著名的跨国银行控股公司高盛的一名步调员因窃取了投资银行高频生意业务系统源代码而获刑。2012 年,一名 32 岁的中国籍步调员 Bo Zhang 在纽约被警方逮捕。因为他被控偷窃了“Government-WideAccounting and Reporting Program(GWA)”的源代码,GWA 所有权属于美国财政部,开发本钱约 950 万美元。
因此笔者这里再次提醒各人造成不要把公司的源代码拷回家,一旦泄露结果非常严重。
固然除了咱们步调员个人要重视版权,这里笔者还要命令我们的 IT 公司也要重视版权掩护。
克日中国电子书厂商 Oynx 拒绝开源其基于 Linux 内核修改的设备源码,而这一做法显着违反了 Linux 的 GPL 协议。因此在 Reddit 社区引发了开源软件如安在中国维权的大讨论。


凭心而论我国阿里、腾讯、百度等大厂近些年来在开源方面贡献都很大,Oynx拒绝开放源码的行为也纯属是个例,但究竟功德不出门,坏事传千里,纵然我们开源了飞浆、RocketMQ 等多个优秀的开源软件,也无法对冲不遵守开源规则所带来的恶劣影响。
之前开源的视频编码项目 FFmpeg,就因有企业使用其代码但并未遵循 LGPL/GPL 许可证的规定,而使用“羞耻柱(Hall of Shame)”的方式来公示那些违反 GPL 许可证使用 FFmpeg 代码的其公司,此中有很大一部门是中国的知名企业,为此整个业界也都掀起了轩然大波。
而最近笔者发现国内最早的开源操纵系统项目 MiniGUI 也发布了破例清单,https://www.fmsoft.cn/exception-list 对某些未遵守 GPL 协议的公司举行了破例处理处罚。在此,也命令业界,在使用开源软件的时候一定要注意遵守相关规则,IT 各界也要重视知识版权。
最后,本次盘货希望可以或许资助各位步调员提高相应的自我掩护意识,服从底线就可以包管安全,而 IT 企业也要积极运行新晋的云安全技能来提升自身的风险抵抗本领,如此互动才气让我们的安全情况越来越好!

步调员如何制止陷入“内卷”、选择什么技能最有前景,中国开发者现状与技能趋势究竟是什么样?快来到场「2020 中国开发者大观察」,更有丰富奖品送不绝!


戳”阅读原文“,立即到场中国开发者大观察!

来源:https://blog.csdn.net/csdnnews/article/details/112057504
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发布主题

专注素材教程免费分享
全国免费热线电话

18768367769

周一至周日9:00-23:00

反馈建议

27428564@qq.com 在线QQ咨询

扫描二维码关注我们

Powered by Discuz! X3.4© 2001-2013 Comsenz Inc.( 蜀ICP备2021001884号-1 )