Shell's Home

最近的阿里月饼事件

Sep 15, 2016 - 1 minute read - Comments

相信大家都听说过了,原帖在这里。阿里的声明在这里。我简单说一些吧。

拿js秒杀抢一堆月饼是不好的,当事人也承认这点。不过哪里不好大家观点不一。当事人强调“代码错误”和“好奇测试”。从安全部的职位来说,不是说不过去。不过很明显公司不这么认为。这事扯不上价值观,也不能扯上价值观。如果要扯价值观的话,你就得想想。让一群做渗透出身,见墙上有个圈都要不信邪钻一下的人,去一个对内需要严格管理和反腐的公司。这本身三观里合了哪一观?至于提UC的同学,更是完全没提在点子上。秒杀好不好主要看杀的是谁,也就是所谓的立场决定态度。这才是核心价值观。其他价值观与此冲突者无效。

这件事本身是公司内务处置,事情还得回归到公司规章制度,岗位职责和合同上去。

先说最后一个被开掉的人。我不知道阿里的安全岗位有没有对内安全职责,但是一般来说,安全岗位是可以进行内部渗透的(而且这是岗位职责)。你雇了一个警卫过来让他负责安全,就不能因为人家试着从墙角的洞里面钻进来就把人家给开除——那是人家的工作。只是安全渗透通常需要协调很多事情,例如是否对线上造成影响,是否需要通知当事部门。最后那个哥们显然是没有经过协调。不过从事后并没有付钱来说,还是可以认定不是冲着月饼去的。因此事后有没有付钱这点非常重要。当事人讲法是没付,阿里的声明中未提到。

如果确实没付钱,看到内部秒杀系统似乎没做反刷,写个脚本测试一下。我不知道你们管这叫什么,反正我管这个叫内部测试。这最多只能叫做工作协调有问题,既扯不上价值观,也不违反大部分正常公司的规章。当然,阿里也有可能在安全组规范里面写明了——未经备报批准不得私自进行内部渗透。那这就叫活该了。只是如果安全组有这条规范,我很怀疑内测到底能测出些什么玩意来。你看,按照规范要求,你需要一个个产品线的和对方的老大去谈,获得许可后测试。可是基本最新的,出漏洞可能性最大的系统,全都是要求赶紧上线,没时间全面考量安全性的。可黑客不归阿里的安全组规范管啊。

前面一个哥们的行为则更不好说一点——他确实是冲着月饼去的——一盒。只不过由于程序故障,所以造成刷了一堆月饼出来。所以这里是两件罪——用脚本刷月饼,刷多了。

脚本刷月饼是不是道德,最近有一堆朋友反复论述过了,我这里就不赘述了。在我眼里看来,用脚本去刷一盒月饼不能叫不道德。如果自动化脚本代替人操作就能叫不道德的话,你把密码存在浏览器里面,不亲自填写登录信息是不是应该叫欺诈?你看,银行让你设定密码,是希望你(这个人)去输入密码来验证自己身份的。结果你到好,用一个自动化工具帮你输入密码,欺骗银行,让他以为是你输入的。这是不是欺诈?

对于程序员来说,写个脚本帮自己刷点什么太正常了。有些程序员写脚本,看到自己晚上9点后还登录在服务器上的话,就给老婆发封邮件说要加班今天回不去了。有的程序员写个程序,定期给老婆的朋友圈全部点赞。我有很多邮件甚至不是亲自读的——直接写个脚本爬下来,然后分析一下内容。有关键词才看,没有的话存档然后定期看一眼标题就行。程序员学得一身通天彻地的屠龙术,其实搞到头只有这点羊毛可以薅,你们还在那里大叫不公平。那我们每天晚上自己加码学这些技术的时候,怎么没听有人说,“这个得算加班”啊?

至于刷多了的问题,这叫程序有bug——可是程序有bug不能叫程序员道德败坏吧,否则阿里的反腐难道是在HR的主持下集体抓bug的工作?

当然,另一种可能就是,当事人确实是想多买几盒月饼。只不过后面事情闹大了,又不能推在临时工头上,所以只能说脚本有bug。不过据当事人声称,事后打过电话想退回多余月饼。如果这点属实,也可以排除想多刷月饼的可能。因此事后是否曾打电话要求退回月饼非常重要。同样,当事人讲法是打了,阿里的声明中未提到。

所以,此人可以以技术不过关的名义辞退,但是却不应以试图刷月饼的名义辞退。因为他确实在写程序时考虑不周,对线上业务造成了影响。这在安全组工作中属于过失。没错。

内务处理,很多时候只能看出发点和动机,甚至有时没什么可以参考的。要参考的话,内部多出来的月饼用秒杀,这又是合了哪条规了?要是软件公司每件事物都要参考规章来办事的话,索性还是关关门大家去应聘公务员来的快一点。很多时候本来就是没什么规章的情况下大家估摸着办,办好了就成了规章。办砸了,如果本人不是蓄意做砸的话,都属于还可以抢救一下的范畴。最多是技术不够/工作不够热情/协调能力不足/运气不好反正你办砸了怎么也得来个差评。惩治一下就行了,否则还有哪个愿意当这个出头鸟来办事?

整件事情上,个人观点,觉得惩罚出手太重了。一般来说,这种事情退回月饼,通报批评,扣除当年奖金已是重罚。开除已经是在严打了。开除加上对外点名。。。要知道所谓杀人不过头点地,今天你打倒在地还要踏上一只脚,叫他永世不得翻身。。。

总体结论,阿里系的安全恐怕要打个问号。即使现在没问题,将来也不排除这种可能。做内部涉安全测试的同学,就根本不能想测哪里测哪里。如果测砸了。OK,价值观不符,开除。测过了,没有线上影响,确实有bug,需要赶快修复。OK,等着你的不是嘉奖,而是仍旧价值观不符,开除。那什么最安全?当然是领导说要哪里安全就哪里安全,说要多安全就有多安全。多余的事情不要多问,不要多听,不要多想。这也确实是合了阿里的价值观,一个对内严格管理,加大力度反腐的公司,是不应当有一群看什么都不爽要亲自拆一下看看的猴子的。只是这样的安全组能起多大作用,自己想吧。

最后补一下合法问题。合法性上,不好说。毕竟阿里给出的台面理由是“价值观不合”。阿里有没有把“价值观”定义为劳动雇佣合同中的一部分,我没看过合同,所以不知道。这和fb的case有差别。因为fb是把企鹅定义成了竞争对手,所以带着竞争对手的人来公司参观是明显违反保密原则的。白纸黑字毋庸置疑。更不提这也违反了H1b签证要求。而如果阿里并没有将“价值观”定义为员工要件之一,这种情况就和以“八字血型和公司名字不合”解除合同一样,属于甲方无正常理由解除合同。理应给予补偿。