阿里安全團(tuán)隊(duì)的4個(gè)程序員利用秒殺應(yīng)用缺陷寫個(gè)js腳本搶購月餅，最后被開除了。剩下那個(gè)屬于阿里云，處理結(jié)果還在討論中。

這個(gè)事件其實(shí)很多人不解，不過是在內(nèi)網(wǎng)搶購的小程序，寫了個(gè)腳本刷多了月餅，又沒有搶雞蛋，沒購買就報(bào)告給HR，怎么就被開除了呢？那么，作為安全團(tuán)隊(duì)的leader，都是如何看待這件事的？為此，雷鋒網(wǎng)編輯和幾個(gè)安全團(tuán)隊(duì)負(fù)責(zé)人聊了下，來聽一聽他們的看法。

360無線電硬件實(shí)驗(yàn)室掌門人  楊卿：

如果在我們這，跪的會(huì)是寫出那套平臺(tái)的相關(guān)人員。

以在360信息安全部多年的工作經(jīng)驗(yàn)上假想，如果出現(xiàn)了月餅事件，發(fā)現(xiàn)漏洞的安全人員（畢竟我們這"黑客"太多）一定是會(huì)及時(shí)報(bào)告給信息安全部，由我們督促存在漏洞的業(yè)務(wù)系統(tǒng)的研發(fā)人員進(jìn)行修復(fù)。

而且公司研發(fā)的小伙伴早就習(xí)慣了被我們嚴(yán)苛的安全標(biāo)準(zhǔn)所"虐待"，安全的使命感會(huì)讓大家快速響應(yīng)并配合我們將漏洞修復(fù)，肯定不會(huì)有什么被離職的情況發(fā)生，畢竟360是以安全文化為導(dǎo)向的企業(yè)，記得有一次我們發(fā)現(xiàn)某節(jié)日公司發(fā)禮品自選平臺(tái)有漏洞，我們的安全人員邊測試漏洞邊超限訂了一大波禮品，把數(shù)據(jù)庫搞亂了，最后是我司行政MM們很耐心的一個(gè)一個(gè)給員工打電話核實(shí)所選禮品，一點(diǎn)都沒有生安全攻城獅的氣哦(??? )

知道創(chuàng)宇 Seebug 漏洞平臺(tái)負(fù)責(zé)人 張祖優(yōu)：

技術(shù)人員寫腳本代替人工很正常，不然怎么會(huì)有各種軟件出現(xiàn)。至于腳本失控?fù)屇敲炊啵忻霘?yīng)用本身缺陷在，寫腳本的人沒想到很正常。

按當(dāng)事人說法那么快開除我覺得說不過去，上升到價(jià)值觀，這個(gè)我其實(shí)沒法理解哈，開人的速度有點(diǎn)快。

反正我覺得技術(shù)無罪，只是正好碰上秒搶程序上有漏洞，于是產(chǎn)生一系列問題。另外，假如當(dāng)事人說的只是為了搶一盒月餅，我不覺得用腳本搶有什么問題，又不是說惡意的黃牛行為。不過如果有公司有規(guī)定除外，有些公司有底線，一觸犯就沒二話可言，這能理解。

360 網(wǎng)絡(luò)攻防實(shí)驗(yàn)室老大 林偉：

阿里月餅事件我個(gè)人的幾點(diǎn)意見：這個(gè)事情完全可以壞事變好事。，

1、把月餅作為獎(jiǎng)勵(lì)鼓勵(lì)安全研究人員發(fā)現(xiàn)漏
2、批評(píng)業(yè)務(wù)部門沒走測試流程承擔(dān)主要責(zé)任，
3、安全測試部門應(yīng)該提出改進(jìn)方案避免不提測就發(fā)現(xiàn)不了。
4、如果已經(jīng)提測安全人員做了這個(gè)事情，當(dāng)我上面沒說……
5、過度袒護(hù)業(yè)務(wù)部門，人心皆失，阿里安全人員人人自危，團(tuán)隊(duì)不好帶了……以上，各位細(xì)細(xì)品味……
6、給四位同學(xué)的話，做事不動(dòng)腦，不如換領(lǐng)導(dǎo)

是你們開除了老板，不是老板開除了你，有大把團(tuán)隊(duì)等著搶你們，公司文化很重要，一個(gè)好領(lǐng)導(dǎo)很重要。

當(dāng)然，也有挺阿里做法的——

知名上市公司VP，資深安全人士：

這個(gè)事挺特殊，因?yàn)樾畔踩袠I(yè)或者崗位本身是一種審計(jì)/保護(hù)/監(jiān)督的角色，這種行為其實(shí)打破了信任關(guān)系。古希臘人說：能力越大，責(zé)任越大。信息安全從業(yè)的人員應(yīng)該以之自勉。

雖然最后沒有付款，但是“犯罪”中止不代表不需要承擔(dān)責(zé)任。

大公司林子大，有規(guī)則是無可厚非的，但是搶個(gè)月餅的事兒（寫個(gè)腳本測試出了漏洞）上升到價(jià)值觀是不是就有點(diǎn)讓技術(shù)人心寒了。

不過，阿里月餅是什么餡兒的，有那么好吃嗎？吃過的小伙伴留個(gè)言唄，我們來聊聊價(jià)值觀。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。