從這四方面入手,做一個牛逼的CTO
這是一場看不見的戰爭。麻煩制造者的名字是一個代號——“XcodeGhost-Auther”。一個月前,他還默默無聞,但現在程序員群體中,還有幾個人不知道他這個代號呢?
對于這個神秘的名字,Wellington和他的團隊8人幾乎一無所知,他們面對的只是一堆數字,但最終卻不得不用一整天的時間來清理“XcodeGhost-Auther”帶來的問題。
這是一串惡意代碼,被命名為XcodeGhost。Wellington把這串代碼稱之為“源碼病毒”,他不知道這款受到感染的APP已經被多少用戶下載,也不清楚這串代碼已經存在了多長時間。他對“源碼病毒”幾個字的唯一印象,是大學教科書的某個角落,很短一行字的介紹。
Wellington畢業十年了,做了十年的程序開發工作。他現在是北京一家知名互聯網公司iOS開發主管,手下管理著一個近百人的團隊。
XcodeGhost 在 19 日引起了軒然大波
9月19日,星期六,Wellington躺在床上向女友承諾未來他一定能在北京五環內買一套房時,他的手機響了。公司CTO發來一則國家互聯網應急中心的通知,“我們的APP在感染名單里。”
Wellington起床,穿好衣服,等待著領導指示。負責APP發布的主管被連夜喊回公司,處理此事。Wellington接到任務,下周一去破譯這串代碼。
如果不是騰訊安全團隊一周前在無意中發現了這串被植入的惡意代碼,沒有人知道它還能繼續隱藏多久。
各大安全中心迅速出動,發現最早的感染源能上溯至今年3月份。一個名為“codeFun”的賬戶名被鎖定,幾乎所有帶有惡意編碼的鏈接都是由這個賬號在各大網站發布。
9月17日,阿里移動安全發布了首篇分析報告——《Xcode編譯器里有鬼——XcodeGhost樣本分析》,并將此代碼樣本命名為 XcodeGhost。
此后的一周時間,Wellington的朋友圈里全是對XcodeGhost的分析解讀。很快,被植入惡意代碼的APP曝光,其中涉及微信、滴滴打車、高德地圖、同花順、網易云音樂、12306等常用APP。
這個代碼的背后,充滿著程序員式的神秘感,代碼不具備情感,并不能透過這些數據掌握麻煩制造者的心理。
Wellington反編譯后臺之后,驚異于這串代碼的隱秘性,“他們的手腳很干凈,做得不留痕跡。這是一個老練的團隊,經驗豐富。”
9月19日,惡意代碼的制作者現身,他注冊了一個名為“XcodeGhost-Auther”的微博賬號,聲明這次事件沒有任何威脅性,“這只是苦逼iOS開發者的一次意外發現,……它不會對任何人有任何影響,以后只會是一段已經死亡的代碼。”
Appthority信息安全公司確定被XcodeGhost代碼影響的應用達到了476個,遠超之前預期的40多個
Appthority顯示,感染最早暴發于今年4月,感染數量在隨后的5個月持續增長
但對于經驗豐富的技術主管,這并不是一種技術上實現自我的手段。他顯得不那么光明正大。一家互聯網公司的技術主管強調,“XcodeGhost-Auther”的行為或者不乏新意,但看起來只是旁門左道。
“這能證明什么?”這名技術主管認為,技術人員最大的成就感應該來自于創造,他不希望自己的團隊中有人渴望成為一個破壞者。
對于一家互聯網公司而言,技術人員占據著重要的位置,互聯網需要怎樣的程序員呢?這是個值得思考的問題。Lagou找了些業界大牛,提供了一些成為優秀程序員的必備建議。
技術過硬
Arron是一家正在快速成長的互聯網公司的CTO,他帶領著一個一百多人的技術團隊,并且還在不斷地招兵買馬。他看重技術,這直接關系著產品的優劣。
“技術永遠是第一位的,好的技術才能實現好的想法。”由于這是在面試與筆試中,最容易被衡量與測試出的專業能力,所以,技術過硬,是程序員的立命之本。
職業道德
Arron堅信善良比聰明更重要。
“在技術界里當一個好人挺難,因為利益巨大。”黑市上,用戶數據被明碼標價,如果哪天你看到一個程序員一夜之間買了房買了車,那么可能他干了一票。
Wellington會常常擔心的一件事情是,他的團隊里會不會有人把網站所有的用戶信息打包賣出去。“你知道的,總是有那么十幾個人有權限接觸到所有的信息。”
專業技術與職業道德,缺一不可。“不過,如果是個好看的妹子,品格上不能降低要求,但在技術上差一點也沒關系。”Wellington笑著對Lagou說,程序媛比程序員更容易找到工作。
了解安全知識
烏云網的白帽子王彪持續關注著XcodeGhost事件,他對合格工程師的定義是,一定要懂一些互聯網安全知識。“去官方網站下載軟件是基本原則,尤其是涉及公司業務的軟件。從第三方源下載,不校驗哈希值,這是最基礎的常識失誤。”
Arron能夠理解那些通過非官方渠道下載Xcode的程序員們,雖然他決不允許自己的團隊經由非官方途徑下載。“效率與安全一直是一對矛盾,非官方途徑的便利足以讓人放松警惕。而對大多數互聯網創業公司而言,組建一只專門的安全團隊很難,要掏錢,卻沒有實際產出。”
蘋果稱,將把Xcode的下載源放在中國。這減少了源碼病毒的威脅,但互聯網世界依舊危機四伏。
堅持學習
王彪告訴Lagou,他眼中的互聯網安全不是溫室里的花朵,而是真真切切由血的教訓積累而成經驗。“每次事件的血都不會白流,它將形成我們日后更高標準的準入措施。好的程序員,不要在同一個地方跌倒兩次。”
“一個優秀的程序員,和一個優秀的碼農的區別,只有兩個字——學習!”
Paul Graham曾經在《偉大的黑客》一書中寫道:
“牛逼的黑客能夠在大腦中裝進很多上下文,當他看一行代碼時,不僅僅是這行代碼,還包括這行代碼相關的整個程序。”
通過學習,碼農能擴大自己的工作記憶,讓大腦中裝進更多的上下文,最終達到在大腦中跑程序,成為程序員。
Arron逼著公司里所有的技術人員學習,他對Lagou講道:程序員不學習,毋寧死。
本文作者:西岳,拉勾網原創出品
