近日，阿里云云效平臺被曝出現源代碼泄露企業，涉及40家企業共200余項目，甚至波及用戶隱私敏感數據。晚些時候，阿里云就此事作出回應，并在網站醒目標識并給出告警。

今天，一篇題為《獨家 | 阿里云出現源代碼泄露企業 涉及萬科等40家企業200余項目》的文章吸引了不少關注。文章披露，阿里巴巴旗下一站式研發提效平臺——云效平臺，只要通過賬號正常登陸進去，就可以看到很多公司的“內部”代碼，甚至不少用戶敏感信息被泄露，涉及公司包括萬科集團、咪咕音樂、百度無人車合作伙伴ecarx等。

根據了解，出現該問題的主要原因在于提交者對“Internal”一詞的不同理解。在云效平臺提交代碼，默認可以選擇三種方式：Private、Internal和Public。私有與公開很好理解，唯獨Internal一詞出現爭議，這些代碼被公開的企業可能將其理解為公司內部公開，因此將默認狀態下的Private權限更改為Internal。但是，Internal的真正含義是平臺公開而非公司內部公開，一旦選擇該選項，就意味著數據對整個云效平臺公開，所有用戶均可訪問，這也是造成本次“源碼泄露”事件的主要原因。

針對此事，InfoQ編輯部第一時間與阿里云取得聯系。對此，阿里云回應如下：

阿里云方面表示，2018年9月底，阿里云曾增強對Internal權限的中文注解，并于近日發出全站通知提醒。同時，阿里云正在逐一通知之前將訪問權限設為Internal的開發者用戶，確保大家正確理解該訪問權限的含義，并將繼續評估、改進相關產品設計，讓所有開發者有一個更安全、清晰的使用體驗。

對此，開發者的反應各有不一，有人認為Internal一詞在國內更多被翻譯為內部，國外則更多理解為平臺公開，國內外對于同一詞匯的理解存在誤差，阿里云應該給出更加具體的說明；也有網友表示，代碼托管平臺的設計大致相仿，幾乎每個平臺都采用Internal一詞表示平臺公開，長期編程的技術人員不可能產生誤解；另外，也有不少人對數據表示懷疑，認為該量級的企業不會將內部非公開代碼托管到公共平臺，而是應該放在私有平臺存儲。

對于被提到的幾家代碼公開的企業，部分已經第一時間將狀態更改為Private，暫未出現更大規模信息泄露，阿里云也表示將主動聯系平臺內項目狀態設置為“Internal”的客戶，第一時間確實是否存在其他風險。據了解，目前該平臺已經醒目給出告警。正常狀態下，項目默認為私有，手動更改請慎重選擇。

回顧 2018 年，全球數據泄露事件不斷，當事公司不乏技術實力雄厚、人才充足的大型互聯網企業，個別企業的安全漏洞甚至被黑客利用數年之久，泄露的總體數據量超過 10 億。其中，比較大型的幾起事件有萬豪國際集團官方微博聲明，喜達屋旗下酒店客戶預訂數據庫被黑客入侵，在 2018 年 9 月 10 日或之前曾在該酒店預定的最多 5 億條客戶數據或被泄露；華住集團被曝數據泄露，用戶信息在暗網公開出售，標價 8 個比特幣（當時的市值大約等價 37 萬人民幣），被泄露用戶信息近 5 億；2019剛開年，單單Elasticsearch 數據泄露事件一個月就發生了6起。

無論是大型云廠商還是企業，都應該加強代碼安全意識，尤其是涉及用戶敏感信息的數據。對于擁有大量隱私數據的企業而言，加強內部員工管理也很關鍵，內因往往是造成此類事件發生的最大原因之一。第三方代碼平臺應該加強管理和風險告知能力，企業層面也需要加強員工培訓并在做出選擇之前進行合理風險評估。一旦出現信息泄露，第一時間對泄露數據和代碼進行清理，以免發酵被黑客利用。

對于此事，各有各的說法，你對\u0026quot;Internal“一詞作何理解？你認為這個鍋應該誰背呢？