作为安全团队的leader，如何看待阿里月饼事件？

阿里安全团队的4个程序员 利用秒杀应用缺陷写个js脚本抢购月饼，最后被开除了 。剩下那个属于阿里云，处理结果还在讨论中。

这个事件其实很多人不解，不过是在内网抢购的小程序，写了个脚本刷多了月饼，又没有抢鸡蛋，没购买就报告给HR，怎么就被开除了呢？那么，作为安全团队的leader，都是如何看待这件事的？为此，雷锋网 (搜索“雷锋网”公众号关注) 编辑和几个安全团队负责人聊了下，来听一听他们的看法。

360无线电硬件实验室掌门人   杨卿：

如果在我们这，跪的会是写出那套平台的相关人员。

以在360信息安全部多年的工作经验上假想，如果出现了月饼事件，发现漏洞的安全人员（毕竟我们这"黑客"太多）一定是会及时报告给信息安全部，由我们督促存在漏洞的业务系统的研发人员进行修复。

而且公司研发的小伙伴早就习惯了被我们严苛的安全标准所"虐待"，安全的使命感会让大家快速响应并配合我们将漏洞修复，肯定不会有什么被离职的情况发生，毕竟360是以安全文化为导向的企业，记得有一次我们发现某节日公司发礼品自选平台有漏洞，我们的安全人员边测试漏洞边超限订了一大波礼品，把数据库搞乱了，最后是我司行政MM们很耐心的一个一个给员工打电话核实所选礼品，一点都没有生安全攻城狮的气哦(¬‿¬ )

知道创宇 Seebug 漏洞平台负责人 张祖优：

技术人员写脚本代替人工很正常，不然怎么会有各种软件出现。至于脚本失控抢那么多，有秒杀应用本身缺陷在，写脚本的人没想到很正常。

按当事人说法那么快开除我觉得说不过去，上升到价值观，这个我其实没法理解哈，开人的速度有点快。

反正我觉得技术无罪，只是正好碰上秒抢程序上有漏洞，于是产生一系列问题。另外，假如当事人说的只是为了抢一盒月饼，我不觉得用脚本抢有什么问题，又不是说恶意的黄牛行为。不过如果有公司有规定除外，有些公司有底线，一触犯就没二话可言，这能理解。

360 网络攻防实验室老大 林伟：

阿里月饼事件我个人的几点意见：这个事情完全可以坏事变好事。，

1、把月饼作为奖励鼓励安全研究人员发现漏
2、批评业务部门没走测试流程承担主要责任，
3、安全测试部门应该提出改进方案避免不提测就发现不了。
4、如果已经提测安全人员做了这个事情，当我上面没说……
5、过度袒护业务部门，人心皆失，阿里安全人员人人自危，团队不好带了……以上，各位细细品味……
6、给四位同学的话，做事不动脑，不如换领导

是你们开除了老板，不是老板开除了你，有大把团队等着抢你们，公司文化很重要，一个好领导很重要。

当然，也有挺阿里做法的——

知名上市公司VP，资深安全人士：

这个事挺特殊，因为信息安全行业或者岗位本身是一种审计/保护/监督的角色，这种行为其实打破了信任关系。古希腊人说：能力越大，责任越大。 信息安全从业的人员应该以之自勉 。

虽然最后没有付款，但是“犯罪”中止不代表不需要承担责任。

大公司林子大，有规则是无可厚非的，但是抢个月饼的事儿（写个脚本测试出了漏洞）上升到价值观是不是就有点让技术人心寒了。

不过，阿里月饼是什么馅儿的，有那么好吃吗？吃过的小伙伴留个言呗，我们来聊聊价值观。