作為安全團隊的leader，如何看待阿里月餅事件？

阿里安全團隊的4個程序員利用秒殺應用缺陷寫個js腳本搶購月餅，最后被開除了。剩下那個屬于阿里云，處理結果還在討論中。

這個事件其實很多人不解，不過是在內網搶購的小程序，寫了個腳本刷多了月餅，又沒有搶雞蛋，沒購買就報告給HR，怎么就被開除了呢？那么，作為安全團隊的leader，都是如何看待這件事的？為此，雷鋒網編輯和幾個安全團隊負責人聊了下，來聽一聽他們的看法。

360無線電硬件實驗室掌門人  楊卿：

如果在我們這，跪的會是寫出那套平臺的相關人員。

以在360信息安全部多年的工作經驗上假想，如果出現了月餅事件，發現漏洞的安全人員（畢竟我們這"黑客"太多）一定是會及時報告給信息安全部，由我們督促存在漏洞的業務系統的研發人員進行修復。

而且公司研發的小伙伴早就習慣了被我們嚴苛的安全標準所"虐待"，安全的使命感會讓大家快速響應并配合我們將漏洞修復，肯定不會有什么被離職的情況發生，畢竟360是以安全文化為導向的企業，記得有一次我們發現某節日公司發禮品自選平臺有漏洞，我們的安全人員邊測試漏洞邊超限訂了一大波禮品，把數據庫搞亂了，最后是我司行政MM們很耐心的一個一個給員工打電話核實所選禮品，一點都沒有生安全攻城獅的氣哦(??? )

知道創宇 Seebug 漏洞平臺負責人 張祖優：

技術人員寫腳本代替人工很正常，不然怎么會有各種軟件出現。至于腳本失控搶那么多，有秒殺應用本身缺陷在，寫腳本的人沒想到很正常。

按當事人說法那么快開除我覺得說不過去，上升到價值觀，這個我其實沒法理解哈，開人的速度有點快。

反正我覺得技術無罪，只是正好碰上秒搶程序上有漏洞，于是產生一系列問題。另外，假如當事人說的只是為了搶一盒月餅，我不覺得用腳本搶有什么問題，又不是說惡意的黃牛行為。不過如果有公司有規定除外，有些公司有底線，一觸犯就沒二話可言，這能理解。

360 網絡攻防實驗室老大 林偉：

阿里月餅事件我個人的幾點意見：這個事情完全可以壞事變好事。，

1、把月餅作為獎勵鼓勵安全研究人員發現漏
2、批評業務部門沒走測試流程承擔主要責任，
3、安全測試部門應該提出改進方案避免不提測就發現不了。
4、如果已經提測安全人員做了這個事情，當我上面沒說……
5、過度袒護業務部門，人心皆失，阿里安全人員人人自危，團隊不好帶了……以上，各位細細品味……
6、給四位同學的話，做事不動腦，不如換領導

是你們開除了老板，不是老板開除了你，有大把團隊等著搶你們，公司文化很重要，一個好領導很重要。

當然，也有挺阿里做法的——

知名上市公司VP，資深安全人士：

這個事挺特殊，因為信息安全行業或者崗位本身是一種審計/保護/監督的角色，這種行為其實打破了信任關系。古希臘人說：能力越大，責任越大。信息安全從業的人員應該以之自勉。

雖然最后沒有付款，但是“犯罪”中止不代表不需要承擔責任。

大公司林子大，有規則是無可厚非的，但是搶個月餅的事兒（寫個腳本測試出了漏洞）上升到價值觀是不是就有點讓技術人心寒了。

不過，阿里月餅是什么餡兒的，有那么好吃嗎？吃過的小伙伴留個言唄，我們來聊聊價值觀。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。