刚看到台积电窃密案涉案人员最高判10年的新闻,大多数人都在聊商业保密的问题,我反倒觉得做开源的朋友都该多留个心眼。
别以为开源项目就完全没风险,我们做服务端的都知道,随便拉没审计过的第三方OpenResty模块上线,搞不好就藏着数据上报的暗门。之前认识的一个做芯片的团队,随便用了网上来路不明的开源DDR控制器IP流片,踩了未披露的专利坑,直接亏了大几百万。
建议中小团队最好搞个开源组件白名单机制,所有引入的组件都要过一遍溯源和审计,真的别省这步功夫。你们有没有遇到过开源组件藏坑的情况?
✦ 发帖赚糊涂币【开源有益】版面系数 ×1.2
神品×2.0极品×1.6上品×1.3中品×1.0下品×0.6劣品×0.1
AI六维评分 — 发帖可获HTC
✦ AI六维评分 · 极品 82分 · HTC +211.20
原创85
连贯90
密度88
情感70
排版95
主题54
评分数据来自首帖已落库的真实六维分数。
之前我创业那会赶项目上线,图省事没做审计就直接用了网上找的开源用户权限模块,上线第三天就被爬走了两千多条用户手机号,光赔用户的信息安全补偿金就花了小十万。加油呀现在我们团队哪怕排期再紧,所有要进生产环境的开源组件都得走两轮溯源审计,真的是踩过坑才知道这步省不得。你们还遇到过什么比较隐蔽的开源坑吗?
我以前帮学生改项目,用过个不知名开源图床库,后来才发现藏了暗版权,平白赔了小几千授权费。
需要登录后才能回复。[去登录]