阿里云出事了 真的假的

多大个事儿，把发现（提出）这个安全问题的人消灭就行了：）

@kernel gitlab 的云服务也是这种逻辑啊…… gitlab 并不是只能自己部署的……

https://gitlab.com/xiaolanglang/testinternal
这个库就是 internal 权限的

@tabris17 那句是后加的…

很可能这些公司的员工压根就不知道他们居然与其他公司的员工在同一个体系（即所谓的 internal ）内裸奔

一天天的非要搞大事..2KW 准备好了么

@zzNucker #45 感谢前辈教训，工作学习上我定会好好努力的，避免这种事情再次出现。

之前还在想怎么阿里云上这么多开源项目。。

@gy911201 个人账户和企业账户 internal 定义因该是不同的，起码对正常人来说。

这么多公司在 repo 里存储生产环境密钥.... 太可怕了....

@dbw9580 不一定，那个“永远掌握真理”看看他的微博就知道他是个一事无成天天上网嘴臭的网络喷子。

@dbw9580 https://weibo.com/u/1482691313 这人喷的我都佛了 doge

@shanigan gitlab 个人用户和企业用户的行为都是一致的，其实本来密钥就不应该进代码库，这玩意儿应该是用环境变量或者其他手段注入程序的才对……………………

gitlab 锅大一点，而且其实说明写的蛮清楚的

有阿里索赔 1000 万的前车之鉴在，换我绝对不敢说出去

在公司内部的代码库 internal 就是企业内部公开啊，哪想到阿里改都不改 gitlab 逻辑，直接把私有云的逻辑套到公有云，变成大家都是内部用户，那 public 还有什么用

你有 1000 万吗

客观公平的说，阿里的锅不算大，顶多是选项名称不太清楚，导致了部分（不专业）用户的误用。
打个比方来说，有公司使用 github 管理代码，结果建了个 public repo。你能说这是 github 的漏洞吗？ github 需要在你建站的时候再给你弹个大窗完了再给你打个电话说哥们，你代码全网可见的哦，你确定要 public ？
然后你发现了 x 公司有这个问题，你(而非 x 公司的帐号管理员)去联系 github，github 会帮你去通知？

有什么好玩的项目可以看么

@beingbin 谁被索赔了