近日，有一名叫張中南的網(wǎng)絡(luò)安全愛好者爆料，在阿里云云效平臺(tái)上，登入賬號(hào)，就能瀏覽到很多公司的“內(nèi)部”代碼。同時(shí)張中南通過微信發(fā)來幾張用戶手持身份證的照片。照片中，隱約可以看到用戶的個(gè)人信息。通過這些信息可以看出，公共代碼托管平臺(tái)上，用戶“內(nèi)部資料”變得尤為不安全，高防云服務(wù)器需求越來越多！

半年前他發(fā)現(xiàn)，由于阿里云代碼托管平臺(tái)的項(xiàng)目權(quán)限設(shè)置存在歧義，導(dǎo)致開發(fā)者操作失誤，造成至少40家以上企業(yè)的200多個(gè)項(xiàng)目代碼泄露，“這其中的很多企業(yè)，竟把數(shù)據(jù)庫也拋在公網(wǎng)上，任憑誰，只要按照里面記錄的賬號(hào)密碼登錄，就能訪問。”之所以出現(xiàn)這種情況，可能是因?yàn)檫@些公司的程序員在給項(xiàng)目建庫時(shí)操作不當(dāng)，將項(xiàng)目權(quán)限設(shè)置成“平臺(tái)公開”。很多企業(yè)在創(chuàng)建項(xiàng)目的時(shí)候會(huì)誤選擇“internal”，也就是“平臺(tái)公開”。

目前，阿里云云效平臺(tái)建庫操作頁面為中文，默認(rèn)權(quán)限為“私有”。張中南用一些他發(fā)現(xiàn)在阿里云平臺(tái)上出現(xiàn)代碼泄露的企業(yè)舉例。比如，中國移動(dòng)旗下咪咕音樂，泄漏后端代碼及配置數(shù)據(jù)，包括訪問高清曲庫接口的密鑰，訪問中央音樂平臺(tái)總線接口的密鑰，支付密鑰等。黑客可以根據(jù)代碼邏輯和支付密鑰，偽造支付成功請(qǐng)求。

那云平臺(tái)的安全問題，真的無可避免嗎?高防云服務(wù)器商家告訴你“隨著網(wǎng)民對(duì)網(wǎng)絡(luò)安全的逐漸重視，網(wǎng)站安全問題成為企業(yè)、站長著重要考量的事情”，選擇好的高防云服務(wù)器，將有效彌補(bǔ)除個(gè)人失誤，由于黑客造成的損失。

為了網(wǎng)站安全，中小企業(yè)客戶一般會(huì)租用能夠抵御CC，DDOS等外來攻擊的服務(wù)器，這些服務(wù)器稱為高防服務(wù)器。因?yàn)榫哂蟹烙δ埽愿叻婪?wù)器租用價(jià)格要比普通的獨(dú)立服務(wù)器貴一些。市場(chǎng)上提供高云防服務(wù)器的主機(jī)商有很多，但性能差異較大，甚至有些不知名的品牌濫竽充數(shù)，把根本不具有高防的普通云服務(wù)器以“高防云服務(wù)器”的名義銷售。那么高防云服務(wù)器如何辨認(rèn)呢?

高防云服務(wù)器選哪家：

1、看行業(yè)資質(zhì)包括IDC、ISP、ICP等行業(yè)基本資質(zhì)認(rèn)證，是否有獲得“雙軟企業(yè)認(rèn)證”“國家高新技術(shù)企業(yè)”等認(rèn)可。2、看客戶案例以及行業(yè)經(jīng)驗(yàn)。3、看性價(jià)比，不以價(jià)格評(píng)判一個(gè)服務(wù)商的好壞，認(rèn)真對(duì)比各大高防服務(wù)器租用參數(shù)配置帶寬等資源，在預(yù)算基礎(chǔ)上注重性價(jià)比而非追求低價(jià)。

在5G云計(jì)算主機(jī)的時(shí)代，高防云服務(wù)器應(yīng)該多參考再選擇，互聯(lián)數(shù)據(jù)作為高防CDN和DDoS高防在高防云服務(wù)器領(lǐng)域處于領(lǐng)先地位的企業(yè)可作為參考。

1、超高帶寬 立體防護(hù)

支持電信、聯(lián)通、移動(dòng)等防御，100G+的DDoS清洗能力，在用戶遭到DDoS攻擊時(shí)，通過互聯(lián)數(shù)據(jù)DDoS高防體系，幫助用戶抵御攻擊流量，保證業(yè)務(wù)的正常運(yùn)行。可以完美防御SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、SSDP Flood、DNS Flood、HTTP Flood、CC攻擊。

2、實(shí)時(shí)監(jiān)控 秒級(jí)防護(hù)

清晰直觀的流量實(shí)時(shí)監(jiān)控系統(tǒng)，當(dāng)攻擊發(fā)生時(shí)，清洗中心秒級(jí)響應(yīng)，將攻擊流量牽引至清洗中心進(jìn)行惡意流量的處置，再將正常的業(yè)務(wù)流量通過隔離的回送通道送達(dá)目標(biāo)網(wǎng)站。

3、應(yīng)用層防護(hù)

提供實(shí)時(shí)具備應(yīng)用層抗DDoS攻擊的能力，重認(rèn)證、身份識(shí)別、驗(yàn)證碼等多種手段精確識(shí)別惡意訪問和真實(shí)訪問者，針對(duì)網(wǎng)站類CC和游戲類CC攻擊均可防御。適合電商促銷、金融行業(yè)推廣、企業(yè)門戶網(wǎng)站等重大活動(dòng)中的安全預(yù)防場(chǎng)景。

4、業(yè)務(wù)支持

支持TCP/UDP/HTTP/HTTPS，適合金融、電商、游戲、門戶、媒體等各類業(yè)務(wù)場(chǎng)景，支持DDoS，CC防御。

我們建站時(shí)候，知道租用云主機(jī)可以做什么？云主機(jī)的使用方法后，除了選擇高防云服務(wù)器，更應(yīng)該注意在建站的時(shí)候，避免因?yàn)闄?quán)限控制，因?yàn)槟J(rèn)是“internal”，“而發(fā)生程序員個(gè)人建庫時(shí)候的疏忽。”針對(duì)云效平臺(tái)此前默認(rèn)操作是“平臺(tái)公開”一事，云效平臺(tái)表示：云效平臺(tái)和github一樣，從一開始就是默認(rèn)的“私有”，客戶自己設(shè)置導(dǎo)致的企業(yè)對(duì)代碼安全問題云平臺(tái)將會(huì)回避。