毕业半年的憨憨，将公司的代码上传到 GitHub 上了

周四大清早，刚上班。



”Tw, 你那个事情是怎么回事？“，部门开发领导刚到办公室，就对着刚毕业半年的tw同学说到。



tw思考了0.5秒后说：“对账单的事情我知道了，正在处理。”



领导：“对账单你妹啊，你知道什么事情吗，公司的代码怎么传到GitHub上去了？”

事出有因



这时才知道事情的严重性。原来是因为公司的安全部门监控到了公司的代码被人上传到了GitHub，并将这事上报给了CTO，CTO马上找到了我们部门的开发领导，说我们部门的人将公司的代码上传到网上，并涉及到部分密钥、密码等敏感信息的泄露，可想而知，领导肯定被CTO批评了一通。



之前，在B站的时候，也遇到过一次有一个离职的同事因为和公司有过节，离职后匿名将公司的代码传到了网上，消息在网上快速传播，短短一段时间这个项目就被fork6000次，star9000次，业务源码被好奇宝宝们扒光衣服看的通透，大数据杀熟、大骂产品等相关的代码注释也让不少吃瓜群众大饱眼福。

为什么公司禁止员工将代码上传到网上



首先是代码中有一些敏感的信息比用数据库连接信息，一些公私钥等，在公网上传播时会被不法的用户获取后会恶意的破坏系统，后果非常严重，可能会导致公司业务停摆、股票大跌、甚至破产，相关人员也会受到法律的严惩。



其次是相关的业务细节被暴露也容易被人利用系统漏洞恶意攻击，同时相关的商业操作也会被竞争对手知道，一些不应该被用户知道的事情也会导致用户的流失。





如何避免类似的事情再次上演



• 公司加强代码管控力度。作为互联网公司，数据就是生产力，强化数据安全。使用内网通讯，监控公网通讯。

• 加强外部监控。在最短的时间内发现公网上公司相关的代码信息。

• 提高员工的安全意识，强调未经允许上传代码的危害。

• 做好代码权限划分。不同的人员拥有最小的相关权限。



本次代码上传的原因及最终的处理结果



最近，正好公司在各个研发部门中推行安全整改的事情（目前的老东家做支付，有不少商户的敏感信息），又遇到部门同事将公司的代码推到了GitHub上，真是祸不单行啊。删除仓库后，Tw又被领导叫去谈话也被批评了一顿，然后领导把我们一组十几个研发叫到会议室有开了一个会，专门强调这事，并安排项目的整改把相关的敏感信息修改掉并放到apollo中去。



然后整的tw这哥们今天郁闷了一天，由于代码上传时间短，还没有被人fork，也考虑是tw刚工作，上传代码的目的是让另一个刚毕业半年的同事看，就没有做其他的处理，但是全公司通报批评肯定是少不了的。



希望大家要引以为戒，不要擅自将公司的代码上传到网络上去，后果很严重。



完成，收工！！



【传播知识，共享价值】，感谢小伙伴们的关注和支持，我是【诸葛小猿】，一个彷徨中奋斗的互联网民工。