程式員，技術的“背鍋俠”，盤點 2020 年面向監獄編程的那些事！

【CSDN 編者按】過去一年，“刪庫跑路”、安全漏洞等事件層出不窮，企業、技術人深受其害，作為一名程式員，在新的一年即將到來之際，我們該如何避免面向監獄編程？

作者 | 馬超 責編 | 張紅月

出品 | CSDN（ID：CSDNnews）

2020 年轉眼間白駒過隙般飛奔而去，在歲末年初的當口，筆者在回顧這一年程式員世界的大事件后，突然發覺如何避免程式員面向監獄編程是個特別值得一談的話題，

過去一年的「刪庫」回憶錄

這幾天一款秒殺茅臺酒的 Python 專案，突然在 GitHub 上火了起來，不過聯想到年初 Pandownload 事件主角因販賣不限速網盤工具而獲罪的新聞，筆者不禁為這個專案的發起人略感到擔心，

當然避免面向監獄編程并不是普通程式員才要考慮的問題，9 月末百度元老史有才因涉及非法為賭博網站推廣而被警方帶走，可見就算你身居高位也無法保證安全，

而部分公司權限分配不合理，加之程式員在作業期與單位已經發生嚴重矛盾，這樣的情況下極端的刪庫跑路事件也是時有發生，如微盟的核心資料庫于 2020 年 2 月 23 日 19 點被員工惡意刪庫，直到 3 月 3 日上午 9 點資料才恢復正式上線，針對事故給客戶造成的影響，微盟準備了 1.5 億元人民幣賠付撥備金，其中公司承擔 1 億元，管理層承擔 5000 萬元，

如果說上述情況不算是無心之過，那么今年年初某個程式員因為接了個外包，幫別人寫了個軟體，結果因軟體涉賭鋃鐺入獄 456 天的刷屏新聞，還歷歷在目，

所以看似被動的接外包其實也不安全，更遑論 P2P 公司暴雷、老板跑路但程式員背鍋被抓，而中科大博士業余時間寫“外掛”非法牟利被捕，諸如此類似乎也在說明程式員是個相當高危的職業，

就算不去 P2P 公司、不接外包、不做外掛，只是業余時間寫個開源軟體也可能招來災禍，去年年底，Nigix 之父 Igor Sysoev 的前東家 Rambler 集團對Nginx 提出了侵犯著作權的訴訟，而被警方帶走調查，Rambler 聲稱 Igor Sysoe 在任職期間所有的開發成果均屬于 Rambler 集團所有，因此該公司才是Nginx 專案的合法所有人，

業余時間的開源專案做得好被招妒忌這個還可以理解，而本本分分的完成職責內的開發任務也可能被“殺”了“祭天”，美團大資料殺熟事件以及年初原油寶負油價事件，技術原因和系統問題全部被定性為罪魁禍首，

不過最吊詭的情況是在程式員成為技術“背鍋俠”的同時，重大的資訊安全事件也層出不窮，比如一個月前的感恩節期間，富士康在墨西哥的一家工廠遭受了名為 DoppelPaymer 勒索軟體攻擊，黑客在此之前偷竊了未加密的檔案，進而在入侵之后對設備進行了加密處理，近日， DoppelPaymer 勒索軟體在其勒索軟體資料泄漏站點上發布了屬于富士康的檔案，泄漏的資料包括常規業務檔案和報告，

隨后黑客要求價值 3400 萬美元的位元幣作為贖金，而美國司法部也在日期公布了黑客組織 Sandworm 的材料，他們對于平昌冬奧會、2017 年法國大選都發起過攻擊，當然在這種大規模網路攻擊上，美國安全部門也是十分的出圈，根據斯諾登的曝料 2010 年他們就進行過實驗，利用 30 行代碼炸毀了 27 噸的發電機，而民用設施的漏洞則更多了，他在 2010 年 Blackhat 大會一名來自于新西蘭的程式員 Jack 公開演示了如何黑掉 ATM 機使 ATM 隨意吐錢；隨后 Jack 又在 2012 年的 Blackhat 大會上展示了如何攻擊心臟起搏器和除顫器，

那么，作為一個 IT 界的一員，如何避免這些坑呢？又如何在出現問題時盡可能的保護好自己？

下面筆者就和各位共同探討一下在這樣一個"一半烈火，一半海洋"的大背景下，作為程式員如何避免面向監獄編程，而企業又如何盡量避免黑客攻擊所帶來的損失，

使用 IDaaS 云身份認證系統為核心

自 2006 年“云計算”概念誕生以來，企業上云浪潮席卷全球，由于企業上云后可靈活使用資源、擴展靈活易管理的業務模式、提高資源配置效率、降低資訊化建設成本，

業界有說法是“系統上云后，硬體投入成本減少近 2/3， “企業上云還能享受到的一大好處是基于硬體的資料安全能力，云廠商具備的計算資源規模優勢等先天條件，使得其可以借助加密計算等多種前沿技術來保證用戶資料安全，以增強企業上云的安全性，

不過令人遺憾的是很多企業上云之后還由于慣性沿用之前的身份認證系統，而傳統身份認證體系最主要的認證方式就是“用戶名、口令”，此前，微盟等刪庫事件之所以會發生，其根本原因就是采用傳統的身份鑒別方式，因為用戶名、口令的機制很容易由于人為因素或者制度安全體系的漏洞導致泄漏或者被猜測出來，

IDaaS（身份即服務），才是云計算時代的身份識別和訪問管理系統，它提供了單點登錄、強大的認證管理、基于策略的集中式授權和審計、動態授權、企業可管理性等功能，

IDaaS 的解決方案完全舍棄了用戶名、口令的傳統方式，它可以根據用戶的登陸地點、時間及終端等等資訊綜合授予用戶相應權限，并且還對用戶對態調整，相較于傳統安全外掛式、成本貴的缺點，優勢十分明顯：

• 成本低廉、避免重復造輪子，傳統安全方案需要企業需要采購幾十甚至上百個安全產品才能初步建立企業安全體系，成本高昂不說，對于安全體系來說這也是一種重復建設的浪費，而 IDaaS 作為一種云服務其成本優勢不言而喻，

• 傳統安全模型是游離在 IT 體系之外的外掛式安全，企業在使用網路、存盤、資料庫等 IT 基礎設施時，往往采購自不同的廠商，安全產品也有不同的品牌，于是只能在基礎設施外部署相關的安全產品，做“外掛式的安全”，如何能讓安全產品與產品間，安全產品與基礎設施間做更好地聯動？這對于傳統安全廠商來說，是個較大的挑戰，

• 大幅降低使用門檻，之前安全產品儼然成了企業的“奢侈品”：企業光購買安全產品沒有用，必須有專門的安全人員來使用才能真正發揮效果，于是線下安全廠商大多采用產品加服務的銷售方式進行，但是，由于無法構成相對聯動的體系，導致企業需要招聘很多安全專業人員來運營，成本增大，導致多數企業沒有足夠的專業安全人員來運營，而云安全也真正讓云計算變成一種貧訓科技走入千家萬戶，

因此企業在全面觸云之后，當務之急就是要將自身原有的安全認證體系升級到IDaaS 平臺，只有利用云安全產品，才能真正保證企業資訊資產的安全，

不過目前 IDaaS 領域還處在一片藍海當中，向客戶提供 IDaaS 集成服務的廠商只有阿里云，而可以支持單獨提供 IDaaS 服務的也只有 Authing 身份云等有限幾家初創企業，因此筆者這里也呼吁各大云廠商盡快將 IDaaS 服務集成到自身的云平臺上，正如我們剛剛所講，如何平衡安全與成本之間的關系，其實是擺在各行業面前的難題，而 Authing 身份云的 IDaaS 服務恰恰是解決此類問題的關鍵所在，

多方安全計算客戶隱私保護的關鍵

另外，隱私在如今的大資料時代，一直成為業界及消費者關注的重點之一，不過近期，在區塊鏈技術的加持下，多方安全計算解決方案成為保護隱私的突破口，

現在由區塊鏈構建的資料價值交換經濟生態，已經成為多方安全計算的演算法底座，其中交換標的物是資料資產的使用權，交換媒介是基于隱私計算技術的資料價值交換網路，參與者是資料的供應方和需求方，

最終，區塊鏈技術可以來保存各種資料交易記錄，讓整個交易程序清晰可見并可追溯，并以它為基礎來實作資料的計量計價，以及探索未來的各種基于場景或貢獻度的資料計價，通過隱私計算和區塊鏈技術結合，所有業務參與方可以合規、合法和可持續地把有價值的資料引入到安全計算的廠景中，

正是在這樣廣泛應用前景之下，Gartner 預估三年之內資料要素市場可以有 10倍的增長，成為一個千億級別的市場，不過多方安全計算既要求有強大的互聯網技術背景，也要充分理解傳統行業的運行邏輯，因此這個領域內其實玩家更少，尤其是考慮到多方安全計算從短期看對于巨頭的資料壟斷是不利的，因此這個領域也就成了巨頭不愿意做，而初創企業又做不來的局面，

劃定底線，涉掛、涉黃、涉賭堅決不碰

除了上述給整個行業的建議外，下面我們來簡單談一下具體到我們每個程式員如何避免自己踩坑，首先要著重強調的是底線千萬不能碰，

當然可能也有人會拿菜刀無罪的說法來辯白，寫個軟體我也不知道最侄訓被用在何處，為此筆者咨詢專業人士，得到的結論是，刑事責任關注要看當事人是否有主觀故意，

根據《最高人民法院、最高人民檢察院、公安部關于辦理網路賭博犯罪案件適用法律若干問題的意見》中關于網上開設賭場共同犯罪的認定和處罰規定：

明知是賭博網站,而為其提供下列服務或者幫助的，屬于開設賭場罪的共同犯罪，依照刑法第三百零三條第二款的規定處罰，

也就是說，如果作為程式員，只要你知道自己寫的代碼將被用于賭博，或者其它明知道是違法或者可能違法行為的情況下，繼續為其提供技術支持，都是可能觸犯刑法的，程式員一定要遠離這些，當然這里還要特別說明一下 P2P 和外掛，也必須第一時間撇清，

P2P

此前，有脈脈用戶發帖稱"P2P公司暴雷，前端程式員被捕，

對于這種做互聯網金融的企業的程式員，需要多多了解一下自己公司當前的主營業務是否合法、是否涉及到非法集資違法行為，如果有這個苗頭還是趁早遠離，

外掛

在我國的司法定義中，外掛是指利用電腦技術針對一個或多個游戲，通過改變軟體的部分程式制作而成的作弊程式，制作販賣游戲外掛也是會受到我國司法機關打擊的犯罪行為，

根據開發者制作的不同的外掛型別，以及使用方式等，根據以往案例，可能觸犯非法經營罪、破壞計算機資訊系統罪以及侵犯著作權罪等，

爬蟲存在風險

根據最新的流量分析，互聯網 40% 左右的流量都是機器人也就是爬蟲發起的，而有關爬蟲的法律問題，筆者特意咨詢了單位法務部門的同事，根據我國的《刑法》、《網路安全法》的規定，爬蟲可能涉及到的犯罪行為有如下情況：

1. 首先侵入國家事務、國防建設、尖端科學技術領域的計算機資訊系統的，不論情節嚴重與否，構成非法侵入計算機資訊系統罪，

2. 違反國家有關規定，向他人出售或者提供公民個人資訊，構成“侵犯公民個人資訊罪”，也就是說通過出售個人資訊獲利或者侵入含有國家機密的系統均會構成犯罪，但這兩種情況均不會是無心之過，但是以下規定需要格外注意，

3. 違反國家規定，對計算機資訊系統功能進行洗掉、修改、增加、干擾，造成計算機資訊系統不能正常運行，后果嚴重的，構成犯罪，也就是如果使用爬蟲的抓取力度過大，造成被攫取的網站無法正常運行的情況，并造成嚴重后果的也會構成犯罪，我們前文所述巧達科技的程式員也是因為爬蟲流量太大，造成目標網路接近癱瘓，而涉嫌觸犯此條被捕，

另外為避免其它民事糾紛，要盡量遵守 Robots 協議，Robots 協議是一種存放于網站根目錄下的 ASCII 編碼的文本檔案，它通常告訴網路搜索引擎的漫游器也就是爬蟲，此網站中的哪些內容是不應被爬蟲獲取的，哪些是可以被爬蟲獲取的，嚴格按照 Robots 協議 爬取網站相關資訊一般不會出現太大問題，

因為司法實踐中一般也會考慮行業的通行規范，因此一般遵守 Robots 協議得到的資訊不會被認為是商業機密或者個人隱私資料，或者說遵守協議所得的資訊即使涉密其泄密責任一般也不會由爬取方承擔，

全面增強著作權保護意識

2018 年，北京市公安局通報了一起私自開通公司多個重要技術專案訪問權限，下載公司獨立開發的三個專案源代碼并倒賣牟利的案件，

根據通報，陳某在離職前夕，通過非法手段提高自己系統操作權限，從而獲取全部的核心代碼，并通過自己的賬號進行下載，離職后將代碼帶出，倒賣獲利八百萬元，這里需要指出的是，程式員在作業時間開發的代碼著作權是完全屬于所在單位，把自己開發的源代碼拷回家是一件非常危險的事情，而相關案例更是屢見不鮮，

2010 年，著名的跨國銀行控股公司高盛的一名程式員因竊取了投資銀行高頻交易系統源代碼而獲刑，2012 年，一名 32 歲的中國籍程式員 Bo Zhang 在紐約被警方逮捕，因為他被控盜竊了“Government-WideAccounting and Reporting Program（GWA）”的源代碼，GWA 所有權屬于美國財政部，開發成本約 950 萬美元，

因此筆者這里再次提醒大家造成不要把公司的源代碼拷回家，一旦泄露后果非常嚴重，

當然除了咱們程式員個人要重視著作權，這里筆者還要呼吁我們的 IT 公司也要重視著作權保護，

近日中國電子書廠商 Oynx 拒絕開源其基于 Linux 內核修改的設備原始碼，而這一做法明顯違反了 Linux 的 GPL 協議，因此在 Reddit 社區引發了開源軟體如何在中國維權的大討論，

憑心而論我國阿里、騰訊、百度等大廠近些年來在開源方面貢獻都很大，Oynx拒絕開放原始碼的行為也純屬是個例，但畢竟好事不出門，壞事傳千里，即使我們開源了飛漿、RocketMQ 等多個優秀的開源軟體，也無法對沖不遵守開源規則所帶來的惡劣影響，

之前開源的視頻編碼專案 FFmpeg，就因有企業使用其代碼但并未遵循 LGPL/GPL 許可證的規定，而使用“恥辱柱（Hall of Shame）”的方式來公示那些違反 GPL 許可證使用 FFmpeg 代碼的其公司，其中有很大一部分是中國的知名企業，為此整個業界也都掀起了軒然大波，

而最近筆者發現國內最早的開源作業系統專案 MiniGUI 也發布了例外清單，https://www.fmsoft.cn/exception-list 對某些未遵守 GPL 協議的公司進行了例外處理，在此，也呼吁業界，在使用開源軟體的時候一定要注意遵守相關規則，IT 各界也要重視知識著作權，

最后，本次盤點希望能夠幫助各位程式員提高相應的自我保護意識，堅守底線就可以保證安全，而 IT 企業也要積極運行新晉的云安全技術來提升自身的風險抵御能力，如此互動才能讓我們的安全環境越來越好！

程式員如何避免陷入“內卷”、選擇什么技術最有前景，中國開發者現狀與技術趨勢究竟是什么樣？快來參與「2020 中國開發者大調查」，更有豐富獎品送不停！

戳”閱讀原文“，立即參與中國開發者大調查！