近期,在網絡上火必裁員的文章和言論引發行業熱議,根據火必員工維權群里流出的截圖顯示,一些在火必任職技術崗位的員工揚言要通過“刪庫”、“植入惡意代碼”等偏激方式來向公司索賠,某些推特大V也順勢引導平臺安全風險。在這里,我們暫不去對火必裁員和員工維權等事件做任何評論,對于用戶來說,最為關心的還是平臺安全問題,因為這直接關系到我們的資產安全。
為了探究真相,我們采訪了一位曾在Huobi任職5年以上的技術安全大牛為我們解答疑惑,究竟這番輿論風波是否會影響平臺的安全性?
1、工程師是否可以植入惡意代碼到生產系統?
包括火必在內的大型交易平臺,其研發流程往往是研發根據產品需求編寫程序代碼,然后提交給測試人員進行完整的功能性測試。測試驗證通過后,提交到公司的安全審計部門進行代碼審核。審核通過后這次變更才會被發布到線上。上邊提到的的每個環節都是由系統進行卡控,僅憑單獨個人是無法繞過整個流程體系完成代碼變更上線,更不要說植入惡意代碼。所以即使個別人存在植入惡意代碼到生產系統的想法,除非他能夠說服從研發到測試再到安審等所有流程環節的關鍵節點審核人,才能將惡意代碼植入到上線產品中,就可行性來看難度較大,除非該維權員工在火必身居要職,處在核心高管團隊之中,具有以上所提到的所有部門的調用權限。但在這個關鍵時刻,顯然火必會進一步強化整個流程環節的管控,發現任何異常都會格外警惕,目前難度不亞于破解層層防守的地下金庫中然后悄無聲息取走全部黃金。
Tether與格魯吉亞商業技術大學合作推廣加密教育:金色財經報道,Tether Limited 和格魯吉亞商業技術大學 (BTU) 簽署了一份諒解備忘錄,以促進該國加密貨幣和區塊鏈領域的教育。該計劃旨在為學生提供新興數字經濟中的必要知識和技能。據悉,Tether 將參與 BTU 關于區塊鏈、加密貨幣、穩定幣和其他促進財務自由的技術的教育計劃。
金色財經此前報道,2023年2月,Binance與格魯吉亞創新技術局簽署了一份關于實施區塊鏈領域教育計劃的諒解備忘錄。[2023/5/25 10:38:16]
2、DBA是否可以刪庫跑路?
數據庫是生產環境鏈路中關鍵的基礎設施之一,數據庫穩定性決定著生產服務是否可持續運行,從我在Huobi的經驗來看,火必針對數據庫可用性、數據安全性與一致性做了很多工作,其數據庫管理主要通過如下幾個角度保證安全性:
第五屆CCF中國區塊鏈技術大會在無錫舉行:2月12日消息,2月10日至12日,第五屆CCF中國區塊鏈技術大會在無錫市舉行。大會由中國計算機學會主辦,中國計算機學會區塊鏈專業委員會、上海交通大學、無錫市委網信辦、無錫錫東新城商務區管理委員會、無錫市區塊鏈高等研究中心聯合承辦,無錫學院、中科云海智能技術實驗室協辦。
大會以“新應用 新賦能 新生態”為主題,邀請到超過50位演講嘉賓,其中既有區塊鏈學術領域的高校教授,也有業界應用領域的權威專家,共同探討區塊鏈技術新進展、區塊鏈安全與Web3、區塊鏈隱私保護與監管、區塊鏈數字資產交易、區塊鏈與密碼學以及區塊鏈領域人才培養等熱點話題。
會上還發布了《CCF區塊鏈專委會區塊鏈高水平學術期刊和學術會議目錄》《CCF區塊鏈學術研究白皮書》和《無錫市政務區塊鏈創新應用指南》。“無錫市區塊鏈高等研究中心-無錫學院人才實訓基地”也在大會上揭牌。一批區塊鏈產業鏈上下游的優質企業在會上與錫東新城商務區簽約,將落地區塊鏈項目,逐漸形成一個富有競爭力的區塊鏈產業共同體。(新華網)[2023/2/12 12:02:05]
l安全與審計層面:
動態 | Facebook將參展ChinaJoy與全球區塊鏈應用與技術大會同展區:7月12日訊,2018全球區塊鏈應用與技術大會三點鐘峰會將于2018年8月4日-5日在上海浦東嘉里大酒店舉行。Facebook作為全球擁有逾22億用戶的互聯網巨頭,首次參展ChinaJoy BTOB展區參展ChinaJoy備受關注,或將與BATCon 共同成為本屆ChinaJoy最大亮點。[2018/7/12]
DBA登陸生產環境數據庫服務器,需要先登陸內網VPN,再通過堡壘機接入生產環境服務器,所有生產執行的操作可被審計。堡壘機記錄所有生產環境操作記錄的日志與錄像,DBSOS自助服務平臺對生產數據庫DDL,DML變更操作記錄日志,可被審計,堡壘機與DBSOS日志同步到安全團隊進行審計。
聲音 | 區塊鏈等技術大大提高了房地產交易的效率:6月28日,2018中國房地產經紀年會在北京舉行。全國政協委員、房天下董事長莫天全在演講中表示,大數據、人工智能、區塊鏈等技術在房地產行業的應用,交易效率將大大提高,交易所需的時間將會是現在的1/3。高效的交易也將促使經紀人的總量縮減至現在的一半,甚至未來的交易將實現移動化,交易過戶中心和住房評估公司都將不復存在,我們再也看不到經紀人守在小區門口的情景。[2018/6/28]
因此,任何人對DBA數據庫做變更行為都是一定會被審計和監管覺察到的。
l可用性層面:
MySQL、Redis、TiDB部署采用多AZ、多副本部署,降低單AZ故障帶來的影響與數據安全問題MySQL作為生產環境主要存儲介質,采用增強半同步保證Master與Replica的數據一致性,MySQL與Redis均保證<15s完成故障切換。
l數據庫備份與恢復層面:
具有完善的可調度的自動化數據庫備份系統與binlog——記錄所有數據庫表結構變更以及表數據修改的二進制日志備份系統,所有集群每天一份全備份,備份數據上傳到分布式存儲,可恢復近15天任意時間點數據。為了保證備份的有效性,建立自動還原檢測系統,每周定期對備份進行還原,生成還原報告,除上述自助恢復檢測外,DBA不定期對數據庫進行故障節點通過備份恢復
l生產環境數據變更層面
所有數據與表結構變更需求通過內部審批體系,SQL(StructuredQueryLanguage
,結構化查詢語言)提交到自助平臺,經過平臺的審核規則檢測,審核通過后由DBA點擊執行。所有通過自助平臺進行數據變更操作,默認生成回滾SQL,以便可以最快恢復到執行前狀態。自助平臺工單產生的日志同步到安全組進行審計
過往情況來看,Huobi全年的數據存儲服務SLA<=99.999%,SLA的概念,對互聯網公司來說就是網站服務可用性的一個保證,9越多代表全年服務可用時間越長服務更可靠,停機時間越短,反之亦然,主流互聯網公司表現較好都是99.99%,所以,DBA刪庫跑路造成不可逆的影響和用戶資產丟失的空間和可能性基本上是不存在的。
3、工程師是否可以導致不可恢復的系統宕機?
不會,火必的工程師只有將通過審核的代碼權限發布到線上的權限,沒有停止和下線的服務的權限。并且針對的所有服務的可用性公司有7X24小時的實時監控及服務質量的巡檢機制,發現有異常服務可以迅速處理。
4,工程師是否可以刪除整個系統代碼?
不會。火必研發使用了業界主流的代碼管理工具,有完整的備份在云端。git是一個去中心化的代碼版本管理工具,每個負責相應模塊的工程師電腦上都有完整的備份代碼,甚至每一次的代碼變更記錄都是記錄。
最后:
從職業上講,IT技術人員刪庫跑路以及植入惡意代碼的行為嚴重有違職業道德,且投入產出比為基本為零。任何一個員工如果做過類似的事情,將不會有任何雇主敢雇傭有過類似行為的員工。作為一個心智稍微正常、長期靠技術吃飯的IT從業者,沒有必要賭上自己將來的全部職業生涯做出這種損人不利己的行為。
當然了,由于我個人不是法律專家,這里不談可能會面臨的嚴厲法律制裁。
Tags:區塊鏈JOYCHINCHI區塊鏈是什么多選題joy幣怎么用China GranariesChihuahua In Space
因篇幅限制,本篇文章先展示2022年全球Web3區塊鏈安全態勢,完整版閱讀請在后臺查閱,數據統計截止至2022年12月20日.
1900/1/1 0:00:00金色財經報道,NEAR基金會發布博客稱,作為關于資金狀況的一系列博客的一部分,NEAR基金會宣布將審查其不斷發展的資金戰略.
1900/1/1 0:00:00DeFi數據 1、DeFi代幣總市值:338.29億美元 DeFi總市值及前十代幣數據來源:coingecko2、過去24小時去中心化交易所的交易量12.
1900/1/1 0:00:00撰文:LidoFinance編譯:angelilu,ForesightNews流動性質押協議Lido自今年1月以來其總鎖倉價值超過MakerDAO,成為TVL最高的DeFi協議.
1900/1/1 0:00:00在數字經濟浪潮下,元宇宙產業正在加速融入到各行各業中。虛實共生和去中心化是元宇宙時代的特色,1月16日,《Web3.0的未來及.Meta元宇宙發布會》將在上億傳媒視頻號隆重開啟.
1900/1/1 0:00:002022年,是元宇宙在互聯網語境里祛魅的一年,以Meta、微軟為代表的頭部公司在元宇宙發展方面紛紛陷入困境.
1900/1/1 0:00:00