（给程序员的那些事加星标）

原创整理：程序员的那些事（id：iProgrammer）

4 月 22 日，某站源码在 GitHub 突然被开源，虽然 GitHub 站方出面封掉了首个暴露的代码库，但后续还是有很多人继续主动在 GitHub 新建代码仓库公开传播某站后台源码。

我们此前在微博上呼吁不要那样做，因为涉嫌违法了。但还劝不住他们，甚至有人认为某站《保护自己源码的能力都没有？还拿法律说事……》

今天来看一个相似案例，都是商业公司源码在 GitHub 被开源泄露了。

近日，深圳法院对大疆源代码泄露案做出一审判决，综合考虑犯罪情节以及自愿认罪、有悔罪表现，以侵犯商业秘密罪判处大疆前员工有期徒刑六个月，并处罚金 20 万人民币。

据悉，这些泄露出去的代码，已用于该公司农业无人机产品，具有实用性。尽管大疆公司采取了合理的保密措施，但该次事件依然给大疆造成经济损失 116.4 万元人民币。

—— 4 月 26 日，南方都市报报道

大疆是如何知道源码被泄露了？

据报道，大疆曾于 2017 年 8 月推出漏洞悬赏计划，奖金金额从 100-30,000 美元不等，涉及的问题包括软件安全、飞行安全以及应用程序稳定性等。

大疆漏洞悬赏计划公开发布后，有个安全研究员 Kevin Finisterr 发现了大疆一个非常严重的漏洞。Kevin 和大疆先确认他发现的漏洞属于悬赏计划，然后和搭档整理出一份长达 31 页的漏洞报告。

Kevin 在报告中透露，他们是从 GitHub 上的公开代码仓库发现了大疆的 SSL 私钥和 AES 私钥。

攻击者就能利用公开的私钥，访问存储在大疆服务器上的客户敏感信息，从而可能导致大疆服务器上的用户信息、飞行日志等私密信息能被下载泄露。

大疆程序员在 GitHub 公开代码

经大疆公司的调查，发现子公司的一名员工把他负责编码实现的（农业无人机的管理平台）和（农机喷洒系统）两个模块的代码，上传到 GitHub 建立的公开代码仓库，从而造成了源码泄露。

案发后，该员工第一时间在 GitHub 上删除了相关代码仓库，并积极配合调查，防止事态扩大。他在给 Kevin 的邮件中表示，“无意泄露了大疆的机密”、“我很后悔自己没有法律意识，我愿意承担相应的法律责任。”

（Kevin 在推特公布泄密员工发给他的邮件）

由这个案例可见，不管公司保护源码措施再怎么完善，都扛不住自家员工主动公开泄密……

【附1】：有多少人在 GitHub 上泄露明文密码？

除了主动泄露私钥，还有很多人在 GitHub 上把登录信息和明文密码也都一起开源的。

2017 年 2 月，我们发过一条微博：

在 GitHub 上搜索 remove password，有 283,417 条 commit 记录。

2019 年 4 月 27 日，在 GitHub 上搜索 remove password，有 484,260 条 commit 记录。

【附2】：什么是侵犯商业秘密罪？

根据《中华人民共和国刑法》第二百一十九条规定，侵犯商业秘密罪，是指以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密，或者非法披露、使用或者允许他人使用其所掌握的或获取的商业秘密，给商业秘密的权利人造成重大损失的行为。

侵犯商业秘密行为，给商业秘密的权利人造成重大损失的，处三年以下有期徒刑或者拘役，并处或者单处罚金;造成特别严重后果的，处三年以上七年以下有限徒刑，并处罚金。可以根据情节处以一万元以上二十万元以下的罚款。

关注「程序员的那些事」加星标，不错过圈内事

圈内事，我在看❤️