Bilibili的網(wǎng)站后臺(tái)源碼被發(fā)到了GitHub上？

昨兒個(gè)，文摘菌日常在B站上看看本山大爺?shù)?a href="http://wenjunhu.com/v/" target="_blank">視頻，聽聽吳亦凡的大碗面。突然彈幕畫風(fēng)突變，評(píng)論區(qū)集體喊話B站，“你家后院著火了”。

原來(lái)，Bilibili的網(wǎng)站后臺(tái)源碼被發(fā)到了GitHub上。消息傳出后，Star數(shù)量在4點(diǎn)半就突破了2000，到了下午5點(diǎn)，Star數(shù)已經(jīng)達(dá)到6000，最終創(chuàng)下了一天斬獲9000+的驚人紀(jì)錄。

Github顯示該項(xiàng)目作者為openbilibili，這是一個(gè) 4 月 22 日（也就是昨天）才注冊(cè)的賬號(hào)。很顯然就是為了發(fā)布這個(gè)項(xiàng)目才注冊(cè)了git。另外，項(xiàng)目名go-common，能猜到這就是一個(gè)用Go語(yǔ)言寫的支持庫(kù)。

下圖為項(xiàng)目描述。

另外，還有負(fù)責(zé)人信息?

一位資深后端技術(shù)人員分析稱，上述曝光的源碼疑似B站的后端工程源代碼，B站可能就是或者曾經(jīng)使用上述代碼部署網(wǎng)站的。

當(dāng)天，B站通過(guò)官方微博針對(duì)網(wǎng)站工程源代碼被泄露一事進(jìn)行回應(yīng)，公告稱有部分B站工程代碼在網(wǎng)上流傳，經(jīng)內(nèi)部緊急核查，確認(rèn)該部分代碼屬于較老的歷史版本。網(wǎng)站已經(jīng)執(zhí)行了主動(dòng)的防御措施，確認(rèn)此事件不會(huì)影響到網(wǎng)站安全和用戶數(shù)據(jù)安全。

截至發(fā)文，該聲明已被刪除

這個(gè)項(xiàng)目到5點(diǎn)20分左右才被關(guān)閉掉，不過(guò)當(dāng)時(shí)已經(jīng)有超過(guò)9000的Star，有超過(guò)6000的Fork了，也就是說(shuō)這個(gè)項(xiàng)目已經(jīng)被備份6000多次且不可連帶刪除，這基本屬于無(wú)可挽回操作。

泄露影響，代碼背后的黑洞

根據(jù)技術(shù)人員分析，B站的這份聲明有待商榷，畢竟通過(guò)代碼分析，會(huì)發(fā)現(xiàn)有最近時(shí)間標(biāo)志的代碼。

而且泄露的后臺(tái)工程源碼中，除去部分用戶的賬號(hào)與密碼之外，還有著許多用戶們尚不知曉的“內(nèi)幕”，甚至連簽約UP的粉絲量、播放量等關(guān)鍵數(shù)據(jù)都可以經(jīng)過(guò)系統(tǒng)進(jìn)行作弊虛假處理。

透過(guò)后臺(tái)工程源碼的注釋可以看出，號(hào)稱“良心”、“凈土”的B站其實(shí)也有著大量我們看不到的“潛規(guī)則”的。

很b站的注釋

也就是說(shuō)這份代碼泄露會(huì)導(dǎo)致B站代碼的很多隱患將會(huì)被曝出來(lái)。如果黑客想通過(guò)B站后端代碼攻擊B站，以前他需要做的事情是逆向B站的代碼，猜測(cè)其運(yùn)作原理和漏洞位置，但是現(xiàn)在他可以直接閱讀源碼，從中找到很多不為人知的漏洞。這就為某些黑產(chǎn)提供了便利，例如，他會(huì)利用這份代碼找到視頻方面的漏洞然后盜取未公開視頻；通連接到后臺(tái)數(shù)據(jù)庫(kù)做一些提權(quán)，獲取用戶信息。

另一方面，源代碼泄露還意味著，某些人可以以此為參照，復(fù)制出一套成熟的后端架構(gòu)，然后做出zilizili或者yiliyili等網(wǎng)站。

隨著B站的發(fā)展，其業(yè)務(wù)范圍也在不斷擴(kuò)大，游戲代理、大會(huì)員、激勵(lì)計(jì)劃等的加入也賦予了曾經(jīng)功能單一的B站賬號(hào)大量的經(jīng)濟(jì)價(jià)值，若是大量賬號(hào)失竊，其經(jīng)濟(jì)損失將難以估計(jì)。

國(guó)內(nèi)首個(gè)知名網(wǎng)站源代碼泄露，背后暴露的問(wèn)題

目前，代碼的泄露人和泄露原因尚不清楚，有謠言稱事情是一個(gè)被裁員的程序員的報(bào)復(fù)。不管傳言是否準(zhǔn)確，如此重大的代碼泄露事件仍然是一件值得探討的問(wèn)題。亦有知乎網(wǎng)友表示，這一泄露已經(jīng)觸犯到了法律，如果B站追責(zé)，且不說(shuō)這位程序員在業(yè)內(nèi)混不下去，還有可能坐牢。

程序員作為雇員與雇主之間的矛盾一直處在不可調(diào)和階段，前段時(shí)間一位程序員發(fā)起的996.icu的repo現(xiàn)在依然霸占著github流行度的月榜、周榜以及日榜。這也充分的說(shuō)明了程序員現(xiàn)有的表達(dá)訴求的正常渠道似乎沒(méi)有宣傳的那么有效。

雇員與雇主之間并不是仇敵，兩者的有著共同的利益訴求，畢竟都想把蛋糕做大，能夠分的更多的利益。協(xié)調(diào)溝通只是其中的一種方式，更多的矛盾觸發(fā)點(diǎn)應(yīng)該是這塊蛋糕如何分配。如果利益矛盾真的到了不可調(diào)和的地步，畢竟，光腳的不怕穿鞋的，往日程序員刪庫(kù)跑路的案例比比皆是，程序員鎖死服務(wù)器、刪庫(kù)跑路，公司解散虧XXX萬(wàn)的新聞也是發(fā)生過(guò)的。

另一方面，其實(shí)這也暴露了互聯(lián)網(wǎng)軟件行業(yè)中的通病——開發(fā)與業(yè)務(wù)相互割裂。這次源代碼中暴露的問(wèn)題不僅僅是b站的，阿里云以前也出過(guò)看上去非常不可思議的小錯(cuò)誤，微博也曾經(jīng)因?yàn)槊餍鞘录啻纬霈F(xiàn)服務(wù)器宕機(jī)。本質(zhì)上，這或許也暴露了研發(fā)、開發(fā)人員和業(yè)務(wù)的割裂。研發(fā)人員一般開發(fā)中間件服務(wù)，不太會(huì)從業(yè)務(wù)的角度去考慮實(shí)際的應(yīng)用問(wèn)題，更不會(huì)管你的應(yīng)用是不是有問(wèn)題?？砷_發(fā)人員開發(fā)出的服務(wù)才是面向最終用戶的，技術(shù)開發(fā)一定要從整體全面考慮，尤其要重視最末端的開發(fā)，面向用戶的業(yè)務(wù)代碼一定要注意。

另外，此次暴露出的行業(yè)安全問(wèn)題也不能不重視。研究人員發(fā)現(xiàn)，GitHub仍然存在數(shù)千個(gè)可公開訪問(wèn)的加密密鑰。GitHub上的100,000多個(gè)代碼存儲(chǔ)庫(kù)包含訪問(wèn)密鑰，可以為攻擊者提供對(duì)這些存儲(chǔ)庫(kù)（repos）或在線服務(wù)提供商服務(wù)的特權(quán)訪問(wèn)。北卡羅來(lái)納州立大學(xué)（NCSU）的研究人員在近六個(gè)月內(nèi)掃描了近13％的GitHub公共存儲(chǔ)庫(kù)。在一篇揭示調(diào)查結(jié)果的論文中，他們說(shuō)：“我們發(fā)現(xiàn)不僅秘密泄漏普遍存在 ——影響超過(guò)100,000個(gè)存儲(chǔ)庫(kù) - 而且每天都有數(shù)千個(gè)新的，獨(dú)特的秘密被泄露。”

現(xiàn)代公司對(duì)于數(shù)字化資產(chǎn)的私密度、保護(hù)意識(shí)急需加強(qiáng)。網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻，多數(shù)企業(yè)已經(jīng)有了完善的態(tài)勢(shì)感知和應(yīng)急體系，及時(shí)發(fā)現(xiàn)、及時(shí)處理才能將安全事件的損害降到最低。