0、阿里云泄露企業托管代碼?
據鉛筆道報道,上海一家科技公司的后端工程師,歷時半年,義務“為阿里云查 Bug”。他發現,阿里云代碼托管平臺的項目權限設置得有歧義,用戶在上傳代碼時,可設置 private、internal 和 public。
很多開發者以為選擇“internal”,就是安全的,于是選了此選項。但是正因為此
薩哈林禮品網,已有包含萬科、咪咕音樂、51信用卡等40家企業在內的200多個項目代碼被泄露了。
目前,阿里云官方微博已作出回應,其表示:
阿里云泄露代碼
對此,開發者的反應各有不一,有人認為 Internal 一詞在國內更多被翻譯為內部,國外則更多理解為平臺公開,國內外對于同一詞匯的理解存在誤差,阿里云應該給出更加具體的說明
阿里云泄露代碼
對于被提到的幾家代碼公開的企業
天津筑美,部分已經第一時間將狀態更改為 Private,目前該平臺已經給出醒目告警。正常狀態下,項目默認為私有
搜狐新聞,手動更改請慎重選擇。
對此,你對"Internal“一詞作何理解?你認為這個鍋應該誰背呢?
1、Drupal 曝出代碼執行高危漏洞
Drupal 開源內容管理系統曝出了一個允許黑客遠程執行代碼的高危漏洞,影響數以百萬計的網站,如果不及時打補丁,這些使用 Drupal 的網站將面臨被劫持的風險。漏洞編號 CVE-2019-6340,根源在于未能充分驗證用戶輸入。
2、Eclipse Jetty 9.4.15 發布,建議使用 JDK 12
Eclipse Jetty 9.4.15 發布了,此版本包含大量的 bug 修復和改進,要點:
Java 11 有一個有問題的 TLS 實現。目前 Jetty 團隊建議使用 JDK 12,直到 JDK 12 中的修補程序被反向移植到 Java 11 TLS。
Jetty 錯誤地使用 HTTPS 端口向 HTTP 客戶端返回錯誤。
......(詳情:https://www.eclipse.org/lists/jetty-announce/msg00129.html)
3、Android Pie 引入 Keystore 新特性,安全防護再升級
Android Keystore 為應用開發者們提供了許多加密工具來保護用戶數據。到了 Android Pie 之后,Keystore 也相應加入了一些新功能。在這篇文章中,我們會詳細介紹其中的兩項新功能: 其一是通過限制密鑰的使用來達到保護敏感信息的目的;其二則是能夠在簡化安全密鑰使用的同時,防止應用和操作系統訪問密鑰資料。
4、Spring Tools 4.1.2 發布
Spring Tools 4 for Eclipse, Visual Studio Code 和 Atom 的 4.1.2 版本發布,值得關注的更新內容有:
(Spring Boot) 新特性:實時懸停信息的 @Value 注釋 (#177)
(Spring Boot) 新特性:xml 配置文件中的 bean 符號現在包含確切的位置信息。
(Spring Boot) 修復:cf 上再次運行的應用可以在實時懸停中導航到資源。
......(詳情:https://spring.io/tools/)
5、Google 研究人員稱光靠軟件不能完全避開 Spectre 漏洞
Google 研究人員警告,除非對 CPU 設計進行大幅的修改,否則很難在未來避開 Spectre 漏洞。Google Chrome V8 JavaScript 引擎團隊開發者在預印本網站 ArXiv 發表論文,報告了他們的發現。研究人員指出,光靠軟件不能完全避開 Spectre 漏洞。
,
阿里云泄露40家企業托管代碼?
關注公眾號 
進入手機版 
點擊咨詢
4006-234-116
返回頂部