近期,在網絡上火必裁員的文章和言論引發行業熱議,根據火必員工維權群里流出的截圖顯示,一些在火必任職技術崗位的員工揚言要通過“刪庫”、“植入惡意代碼”等偏激方式來向公司索賠,某些推特大V也順勢引導平臺安全風險。在這里,我們暫不去對火必裁員和員工維權等事件做任何評論,對于用戶來說,最為關心的還是平臺安全問題,因為這直接關系到我們的資產安全。
為了探究真相,我們采訪了一位曾在Huobi任職5年以上的技術安全大牛為我們解答疑惑,究竟這番輿論風波是否會影響平臺的安全性?
1、工程師是否可以植入惡意代碼到生產系統?
包括火必在內的大型交易平臺,其研發流程往往是研發根據產品需求編寫程序代碼,然后提交給測試人員進行完整的功能性測試。測試驗證通過后,提交到公司的安全審計部門進行代碼審核。審核通過后這次變更才會被發布到線上。上邊提到的的每個環節都是由系統進行卡控,僅憑單獨個人是無法繞過整個流程體系完成代碼變更上線,更不要說植入惡意代碼。所以即使個別人存在植入惡意代碼到生產系統的想法,除非他能夠說服從研發到測試再到安審等所有流程環節的關鍵節點審核人,才能將惡意代碼植入到上線產品中,就可行性來看難度較大,除非該維權員工在火必身居要職,處在核心高管團隊之中,具有以上所提到的所有部門的調用權限。但在這個關鍵時刻,顯然火必會進一步強化整個流程環節的管控,發現任何異常都會格外警惕,目前難度不亞于破解層層防守的地下金庫中然后悄無聲息取走全部黃金。
貴陽銀行依托區塊鏈等新技術大力支持大數據項目和企業:8月27日晚,貴陽銀行發布了2021年半年報。今年以來,貴陽銀行以新一輪戰略規劃為引領,持續推動業務轉型和結構調整,取得了一份穩健增長的答卷。貴陽銀行借助貴州建設國家大數據綜合試驗區優勢,貴陽銀行主動融入金融大數據發展大局,堅定不移推進大數據特色銀行發展,依托“互聯網+”、區塊鏈、人工智能等新技術,進行流程再造和產品創新,有力支持了貴陽·貴安大數據產業發展集聚區、黔中大數據應用服務基地等大數據項目和企業。(每日經濟新聞)[2021/8/31 22:49:14]
2、DBA(數據庫管理員)是否可以刪庫跑路?
數據庫是生產環境鏈路中關鍵的基礎設施之一,數據庫穩定性決定著生產服務是否可持續運行,從我在Huobi的經驗來看,火必針對數據庫可用性、數據安全性與一致性做了很多工作,其數據庫管理主要通過如下幾個角度保證安全性:
中國移動:5G將為區塊鏈等技術大規模應用提供更好載體:中國移動透露,截至2020年2月底,5G套餐客戶已達到1540萬戶,保持行業領先。5G發展提速,將為人工智能、物聯網、云計算、大數據、邊緣計算、區塊鏈等技術大規模應用提供更好載體和更多場景,推進千行百業數字化轉型和數字生活消費升級。(新京報)[2020/3/19]
l安全與審計層面:
DBA登陸生產環境數據庫服務器,需要先登陸內網VPN(公司外部人員無法通過普通網絡訪問),再通過堡壘機(運維安全審計系統,用來控制哪些人可以登錄哪些資以及錄像記錄登錄資產后做了什么事情)接入生產環境服務器,所有生產執行的操作可被審計。堡壘機記錄所有生產環境操作記錄的日志與錄像,DBSOS自助服務平臺對生產數據庫DDL(數據定義語言),DML(數據操縱語言)變更操作記錄日志,可被審計,堡壘機與DBSOS日志同步到安全團隊進行審計。
動態 | 國立首爾科學技術大學首次開設區塊鏈課程:國立首爾科學技術大學今日表示,計劃今年第二學期開設區塊鏈安全課程(CBS),該門課程也對非專業的學生開放,修完可獲得三個學分(韓國經濟)[2019/2/6]
因此,任何人對DBA數據庫做變更行為都是一定會被審計和監管覺察到的。
l可用性層面:
MySQL(關系型數據庫管理系統)、Redis(遠程數據服務)、TiDB(分布式NewSQL 數據庫)部署采用多AZ(Available Zone,是指由騰訊云對象存儲推出的多 AZ 存儲架構)、多副本部署,降低單AZ故障帶來的影響與數據安全問題MySQL作為生產環境主要存儲介質,采用增強半同步保證Master(主redis)與Replica(master實時數據的復制)的數據一致性,MySQL與Redis均保證 < 15s完成故障切換。
動態 | 即將上任的懷俄明州第33任州長對區塊鏈技術大加贊賞:據bitcoinist消息,即將上任的懷俄明州第33任州長馬克?戈登(Mark Gordon)在他的就職演說中,對當地的區塊鏈行業大加贊賞。他強調了創業公司如“牛肉鏈”(BeefChain)和“羊鏈”(SheepChain)的做法,將其作為懷俄明州如何在吸引其他企業進入該州的同時引領全國的一個例子。[2019/1/10]
l數據庫備份與恢復層面:
具有完善的可調度的自動化數據庫備份系統與binlog——記錄所有數據庫表結構變更(例如CREATE、ALTER TABLE…)以及表數據修改(INSERT、UPDATE、DELETE…)的二進制日志備份系統,所有集群每天一份全備份,備份數據上傳到分布式存儲,可恢復近15天任意時間點數據。為了保證備份的有效性,建立自動還原檢測系統,每周定期對備份進行還原,生成還原報告,除上述自助恢復檢測外,DBA不定期對數據庫進行故障節點通過備份恢復
l生產環境數據變更層面
所有數據與表結構變更需求通過內部審批體系,SQL(Structured Query Language
,結構化查詢語言)提交到自助平臺,經過平臺的審核規則檢測,審核通過后由DBA點擊執行。所有通過自助平臺進行數據變更操作,默認生成回滾SQL,以便可以最快恢復到執行前狀態。自助平臺工單產生的日志同步到安全組進行審計
過往情況來看,Huobi全年的數據存儲服務SLA (服務等級協議)<= 99.999%,SLA的概念,對互聯網公司來說就是網站服務可用性的一個保證,9越多代表全年服務可用時間越長服務更可靠,停機時間越短,反之亦然,主流互聯網公司表現較好都是99.99%,所以,DBA刪庫跑路造成不可逆的影響和用戶資產丟失的空間和可能性基本上是不存在的。
3、工程師是否可以導致不可恢復的系統宕機?
不會,火必的工程師只有將通過審核的代碼權限發布到線上的權限,沒有停止和下線的服務的權限。并且針對的所有服務的可用性公司有7X24小時的實時監控及服務質量的巡檢機制,發現有異常服務可以迅速處理。
4,工程師是否可以刪除整個系統代碼?
不會。火必研發使用了業界主流的代碼管理工具(git),有完整的備份在云端。git是一個去中心化的代碼版本管理工具,每個負責相應模塊的工程師電腦上都有完整的備份代碼,甚至每一次的代碼變更記錄都會記錄。
最后:
從職業上講,IT技術人員刪庫跑路以及植入惡意代碼的行為嚴重有違職業道德,且投入產出比為基本為零。任何一個員工如果做過類似的事情,將不會有任何雇主敢雇傭有過類似行為的員工。作為一個心智稍微正常、長期靠技術吃飯的IT從業者,沒有必要賭上自己將來的全部職業生涯做出這種損人不利己的行為。
當然了,由于我個人不是法律專家,這里不談可能會面臨的嚴厲法律制裁。
蜂區塊
個人專欄
閱讀更多
金色財經
金色早8點
澎湃新聞
Odaily星球日報
Arcane Labs
深潮TechFlow
歐科云鏈
鏈得得
MarsBit
BTCStudy
2023年1月18日16:00幣安創新區正式上線以太坊流動性質押協議Rocket Pool(火箭池)代幣RPL,并開放RPL/BTC、RPL/BUSD、RPL/USDT現貨交易對.
1900/1/1 0:00:00隨著 2020 年 Defi Summer 和 2021 年 NFT Summer 的狂歡過去.
1900/1/1 0:00:00現金緊張的比特幣礦企正在降低貸款數額,并縮減運營規模,主要由于市場預期加密貨幣行業將在2023繼續經受數字資產價格暴跌的考驗.
1900/1/1 0:00:00軟件開發和架構設計之間有著深厚的聯系,這可以從兩者所使用的詞匯中看出,例如:基礎設施、模塊、框架等.
1900/1/1 0:00:00作者:mimiLFG 是什么阻礙了 GameFi / Web3 游戲的普及?自 2009 年以來,我一直是一名狂熱的游戲玩家.
1900/1/1 0:00:00撰寫:RightSide *LayerZero 的生態系統是我投入大部分時間的地方,因為我認為它是未來加密世界的一個主要參與者.
1900/1/1 0:00:00