水貨CTO,將熊熊一窩
俗話說的好,兵熊熊一個(gè),將熊熊一窩
一個(gè)項(xiàng)目團(tuán)隊(duì),一個(gè)技術(shù)公司,能否有好的表現(xiàn)、做出好的項(xiàng)目,往往先要看項(xiàng)目負(fù)責(zé)人有多少斤兩、有多少水分。
尤其對(duì)于it圈子里的初創(chuàng)公司,如果CTO能找到一個(gè)像比爾蓋茨、喬布斯這樣技術(shù)管理一把抓、無所不能的技術(shù)大牛,指不定過個(gè)幾年這家公司就是下一個(gè)微軟、蘋果。但是如果CTO昏庸充滿水分,那么公司的前景就要打上大大的問號(hào),畢竟CTO要掌握公司整體的技術(shù)走向,一旦方向錯(cuò)了走了冤枉路,想回到康莊大道上可是代價(jià)不菲。
不過下面我要說的這位CTO,不僅沒把公司帶上正途,他自己還給公司挖了一大坑,可以說,是個(gè)天坑!
經(jīng)常關(guān)注美國政治的小伙伴,一定知道美國極右翼社交媒體平臺(tái)Gab,尤其是早先美國大選的混亂,國會(huì)暴動(dòng),很多人都是在Gab進(jìn)行直播及交流。也許是太傾向于川建國的關(guān)系,就在前幾天,Gab發(fā)生了一件和川建國特質(zhì)很搭的事件:
著名的黑客組織 DDoSecrets 利用 SQL 注入漏洞,入侵了Gab的網(wǎng)站,并下載了 70 GB 的數(shù)據(jù)。
這些數(shù)據(jù)包括4000 多萬條帖子,還有平臺(tái)上的用戶數(shù)據(jù),據(jù)保守估計(jì)受到影響的用戶有1.5萬名,其中不乏川建國這樣子的名人。隨后黑客將這些提供給了爆料網(wǎng)站 Distributed Denial of Secrets(DDoSecrets),據(jù)說該網(wǎng)站已經(jīng)著手開始對(duì)數(shù)據(jù)進(jìn)一步進(jìn)行分析研究,說不定過幾天就會(huì)有驚天大瓜出現(xiàn)。
如果說黑客水平夠高,Gab防不勝防,那也倒是技不如人無話可說,但這次的泄露事件,主要原因就在Gab先入職沒多久的CTO-Fosco Marotto !
為什么?
因?yàn)橥ㄟ^查看公司的 git提交記錄發(fā)現(xiàn),導(dǎo)致黑客成功盜取信息的漏洞代碼,正是Fosco Marotto本人!雖然Gab后來將這個(gè)記錄刪除了,但是聰明的網(wǎng)友早就截圖保留了。更加讓Gab的行為顯示出愚蠢兩字該怎么寫。
從圖中可以看到,F(xiàn)osco Marotto 的賬戶提交的代碼,刪除了“reject”和“filter”的代碼,而這兩個(gè) API 函數(shù)實(shí)現(xiàn)了防止 SQL 注入攻擊的編程習(xí)慣。但是Fosco Marotto就那樣把他們刪除了,可以說這是一個(gè)大多數(shù)新手都不會(huì)犯的低級(jí)錯(cuò)誤。
因?yàn)榉乐?SQL 注入,在 Rails 文檔中有著明確的示例說明(https://guides.rubyonrails.org/security.html#sql-injection),有多明確?就是示例的代碼和這次涉及的代碼是完全一樣的!
而且這個(gè)技術(shù)在Rails里不是什么新鮮事物,有多不新鮮?現(xiàn)有的每一個(gè)代碼靜態(tài)分析工具都會(huì)告訴你,這樣編寫 SQL 是一個(gè)非常糟糕的做法!
有一些工具甚至?xí)苯泳芙^這樣的代碼,也就是說Fosco Marotto的行為,仿佛就像前面是一個(gè)大家都能看到的陷阱,路邊都是各種指示牌告訴你前面是陷阱,然后Fosco Marotto,作為一個(gè)CTO,就義無反顧的跳進(jìn)了這個(gè)陷阱!
這件事也一下子讓Fosco Marotto出了名,大家都不敢想象這是一個(gè)CTO會(huì)做的事情。
Fosco Marotto, 曾在 Facebook 有過7年的工作經(jīng)歷,擔(dān)任軟件工程師,負(fù)責(zé)后端工具包 Parse 的開發(fā),是 Parse 團(tuán)隊(duì)的關(guān)鍵成員之一,同時(shí)他還利用業(yè)余時(shí)間幫助 Gab 開發(fā)了免費(fèi)語音網(wǎng)絡(luò)瀏覽器 Dissenter。光看履歷是不錯(cuò),也因此,在去年11月,Gab 宣布聘請(qǐng) Fosco Marotto 作為他們的新 CTO。
作為一家只有26名員工的公司,雖然掛著CTO的抬頭,但是Fosco Marotto還是要負(fù)責(zé)一系列的開發(fā)工作,但既然作為CTO,那就應(yīng)該是整個(gè)公司技術(shù)把關(guān)的第一人,尤其是對(duì)這種風(fēng)險(xiǎn)代碼,更應(yīng)該做到審閱負(fù)責(zé)。
現(xiàn)在Gab還沒出來澄清,究竟是Fosco Marotto本人還是其他人使用了他的賬號(hào),畢竟國外還是不太流行臨時(shí)工的說法,但不管怎么樣,Gab的CEO 安德魯·托爾巴(Andrew Torba)最近為了這個(gè)事情焦頭爛額,畢竟泄露的信息里面一部分人非富即貴,還可能牽扯之前的選舉,真是想都不敢想會(huì)有怎么樣的后果。。。
只能說,這次Gab看走了眼,找了這樣一個(gè)水貨CTO,但其實(shí)國內(nèi)很多企業(yè)都有這個(gè)問題,就是領(lǐng)導(dǎo)空降、只會(huì)吹牛、脫離實(shí)際!
很多單位的領(lǐng)導(dǎo)只會(huì)空談,或許是因?yàn)槊茫兄蠊镜囊环ぷ髀臍v,而大多數(shù)公司又都是只看工作經(jīng)驗(yàn)不看實(shí)際能力,往往那些大公司待過的人都可以在一些初創(chuàng)公司或者小公司找到不錯(cuò)的職位,然后拿出他們?cè)诖蠊镜哪且惶桌碚撻_始吹牛,也不考慮是否滿足公司實(shí)際情況,也不關(guān)心實(shí)際的項(xiàng)目進(jìn)展,就瞎指揮,做得到就是他指揮的好,做不好就是基層員工能力不行。
作為一個(gè)程序猿,如果遇上這樣的領(lǐng)導(dǎo),真不知道是該換工作還是忍一忍。
你有遇到水貨領(lǐng)導(dǎo)嗎?快來一吐為快!
點(diǎn)擊領(lǐng)取:大佬的SQL基礎(chǔ)知識(shí)PDF
喜歡的這里報(bào)道
↘↘↘