作為安全團(tuán)隊(duì)的leader，如何看待阿里月餅事件？

阿里安全團(tuán)隊(duì)的4個(gè)程序員利用秒殺應(yīng)用缺陷寫(xiě)個(gè)js腳本搶購(gòu)月餅，最后被開(kāi)除了。剩下那個(gè)屬于阿里云，處理結(jié)果還在討論中。

這個(gè)事件其實(shí)很多人不解，不過(guò)是在內(nèi)網(wǎng)搶購(gòu)的小程序，寫(xiě)了個(gè)腳本刷多了月餅，又沒(méi)有搶雞蛋，沒(méi)購(gòu)買(mǎi)就報(bào)告給HR，怎么就被開(kāi)除了呢？那么，作為安全團(tuán)隊(duì)的leader，都是如何看待這件事的？為此，雷鋒網(wǎng)編輯和幾個(gè)安全團(tuán)隊(duì)負(fù)責(zé)人聊了下，來(lái)聽(tīng)一聽(tīng)他們的看法。

360無(wú)線(xiàn)電硬件實(shí)驗(yàn)室掌門(mén)人  楊卿：

如果在我們這，跪的會(huì)是寫(xiě)出那套平臺(tái)的相關(guān)人員。

以在360信息安全部多年的工作經(jīng)驗(yàn)上假想，如果出現(xiàn)了月餅事件，發(fā)現(xiàn)漏洞的安全人員（畢竟我們這"黑客"太多）一定是會(huì)及時(shí)報(bào)告給信息安全部，由我們督促存在漏洞的業(yè)務(wù)系統(tǒng)的研發(fā)人員進(jìn)行修復(fù)。

而且公司研發(fā)的小伙伴早就習(xí)慣了被我們嚴(yán)苛的安全標(biāo)準(zhǔn)所"虐待"，安全的使命感會(huì)讓大家快速響應(yīng)并配合我們將漏洞修復(fù)，肯定不會(huì)有什么被離職的情況發(fā)生，畢竟360是以安全文化為導(dǎo)向的企業(yè)，記得有一次我們發(fā)現(xiàn)某節(jié)日公司發(fā)禮品自選平臺(tái)有漏洞，我們的安全人員邊測(cè)試漏洞邊超限訂了一大波禮品，把數(shù)據(jù)庫(kù)搞亂了，最后是我司行政MM們很耐心的一個(gè)一個(gè)給員工打電話(huà)核實(shí)所選禮品，一點(diǎn)都沒(méi)有生安全攻城獅的氣哦(??? )

知道創(chuàng)宇 Seebug 漏洞平臺(tái)負(fù)責(zé)人 張祖優(yōu)：

技術(shù)人員寫(xiě)腳本代替人工很正常，不然怎么會(huì)有各種軟件出現(xiàn)。至于腳本失控?fù)屇敲炊啵忻霘?yīng)用本身缺陷在，寫(xiě)腳本的人沒(méi)想到很正常。

按當(dāng)事人說(shuō)法那么快開(kāi)除我覺(jué)得說(shuō)不過(guò)去，上升到價(jià)值觀，這個(gè)我其實(shí)沒(méi)法理解哈，開(kāi)人的速度有點(diǎn)快。

反正我覺(jué)得技術(shù)無(wú)罪，只是正好碰上秒搶程序上有漏洞，于是產(chǎn)生一系列問(wèn)題。另外，假如當(dāng)事人說(shuō)的只是為了搶一盒月餅，我不覺(jué)得用腳本搶有什么問(wèn)題，又不是說(shuō)惡意的黃牛行為。不過(guò)如果有公司有規(guī)定除外，有些公司有底線(xiàn)，一觸犯就沒(méi)二話(huà)可言，這能理解。

360 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室老大 林偉：

阿里月餅事件我個(gè)人的幾點(diǎn)意見(jiàn)：這個(gè)事情完全可以壞事變好事。，

1、把月餅作為獎(jiǎng)勵(lì)鼓勵(lì)安全研究人員發(fā)現(xiàn)漏
2、批評(píng)業(yè)務(wù)部門(mén)沒(méi)走測(cè)試流程承擔(dān)主要責(zé)任，
3、安全測(cè)試部門(mén)應(yīng)該提出改進(jìn)方案避免不提測(cè)就發(fā)現(xiàn)不了。
4、如果已經(jīng)提測(cè)安全人員做了這個(gè)事情，當(dāng)我上面沒(méi)說(shuō)……
5、過(guò)度袒護(hù)業(yè)務(wù)部門(mén)，人心皆失，阿里安全人員人人自危，團(tuán)隊(duì)不好帶了……以上，各位細(xì)細(xì)品味……
6、給四位同學(xué)的話(huà)，做事不動(dòng)腦，不如換領(lǐng)導(dǎo)

是你們開(kāi)除了老板，不是老板開(kāi)除了你，有大把團(tuán)隊(duì)等著搶你們，公司文化很重要，一個(gè)好領(lǐng)導(dǎo)很重要。

當(dāng)然，也有挺阿里做法的——

知名上市公司VP，資深安全人士：

這個(gè)事挺特殊，因?yàn)樾畔踩袠I(yè)或者崗位本身是一種審計(jì)/保護(hù)/監(jiān)督的角色，這種行為其實(shí)打破了信任關(guān)系。古希臘人說(shuō)：能力越大，責(zé)任越大。信息安全從業(yè)的人員應(yīng)該以之自勉。

雖然最后沒(méi)有付款，但是“犯罪”中止不代表不需要承擔(dān)責(zé)任。

大公司林子大，有規(guī)則是無(wú)可厚非的，但是搶個(gè)月餅的事兒（寫(xiě)個(gè)腳本測(cè)試出了漏洞）上升到價(jià)值觀是不是就有點(diǎn)讓技術(shù)人心寒了。

不過(guò)，阿里月餅是什么餡兒的，有那么好吃嗎？吃過(guò)的小伙伴留個(gè)言唄，我們來(lái)聊聊價(jià)值觀。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。