水货CTO,将熊熊一窝

俗话说的好,兵熊熊一个,将熊熊一窝

一个项目团队,一个技术公司,能否有好的表现、做出好的项目,往往先要看项目负责人有多少斤两、有多少水分。

尤其对于it圈子里的初创公司,如果CTO能找到一个像比尔盖茨、乔布斯这样技术管理一把抓、无所不能的技术大牛,指不定过个几年这家公司就是下一个微软、苹果。但是如果CTO昏庸充满水分,那么公司的前景就要打上大大的问号,毕竟CTO要掌握公司整体的技术走向,一旦方向错了走了冤枉路,想回到康庄大道上可是代价不菲。

不过下面我要说的这位CTO,不仅没把公司带上正途,他自己还给公司挖了一大坑,可以说,是个天坑!

经常关注美国政治的小伙伴,一定知道美国极右翼社交媒体平台Gab,尤其是早先美国大选的混乱,国会暴动,很多人都是在Gab进行直播及交流。也许是太倾向于川建国的关系,就在前几天,Gab发生了一件和川建国特质很搭的事件:

著名的黑客组织 DDoSecrets 利用 SQL 注入漏洞,入侵了Gab的网站,并下载了 70 GB 的数据。

这些数据包括4000 多万条帖子,还有平台上的用户数据,据保守估计受到影响的用户有1.5万名,其中不乏川建国这样子的名人。随后黑客将这些提供给了爆料网站 Distributed Denial of Secrets(DDoSecrets),据说该网站已经着手开始对数据进一步进行分析研究,说不定过几天就会有惊天大瓜出现。

如果说黑客水平够高,Gab防不胜防,那也倒是技不如人无话可说,但这次的泄露事件,主要原因就在Gab先入职没多久的CTO-Fosco Marotto

为什么?

因为通过查看公司的 git提交记录发现,导致黑客成功盗取信息的漏洞代码,正是Fosco Marotto本人!虽然Gab后来将这个记录删除了,但是聪明的网友早就截图保留了。更加让Gab的行为显示出愚蠢两字该怎么写。

从图中可以看到,Fosco Marotto 的账户提交的代码,删除了“reject”和“filter”的代码,而这两个 API 函数实现了防止 SQL 注入攻击的编程习惯。但是Fosco Marotto就那样把他们删除了,可以说这是一个大多数新手都不会犯的低级错误。

因为防止 SQL 注入,在 Rails 文档中有着明确的示例说明(https://guides.rubyonrails.org/security.html#sql-injection),有多明确?就是示例的代码和这次涉及的代码是完全一样的!

而且这个技术在Rails里不是什么新鲜事物,有多不新鲜?现有的每一个代码静态分析工具都会告诉你,这样编写 SQL 是一个非常糟糕的做法!

有一些工具甚至会直接拒绝这样的代码,也就是说Fosco Marotto的行为,仿佛就像前面是一个大家都能看到的陷阱,路边都是各种指示牌告诉你前面是陷阱,然后Fosco Marotto,作为一个CTO,就义无反顾的跳进了这个陷阱!

这件事也一下子让Fosco Marotto出了名,大家都不敢想象这是一个CTO会做的事情。

Fosco Marotto, 曾在 Facebook 有过7年的工作经历,担任软件工程师,负责后端工具包 Parse 的开发,是 Parse 团队的关键成员之一,同时他还利用业余时间帮助 Gab 开发了免费语音网络浏览器 Dissenter。光看履历是不错,也因此,在去年11月,Gab 宣布聘请 Fosco Marotto 作为他们的新 CTO。

作为一家只有26名员工的公司,虽然挂着CTO的抬头,但是Fosco Marotto还是要负责一系列的开发工作,但既然作为CTO,那就应该是整个公司技术把关的第一人,尤其是对这种风险代码,更应该做到审阅负责。

现在Gab还没出来澄清,究竟是Fosco Marotto本人还是其他人使用了他的账号,毕竟国外还是不太流行临时工的说法,但不管怎么样,Gab的CEO 安德鲁·托尔巴(Andrew Torba)最近为了这个事情焦头烂额,毕竟泄露的信息里面一部分人非富即贵,还可能牵扯之前的选举,真是想都不敢想会有怎么样的后果。。。

只能说,这次Gab看走了眼,找了这样一个水货CTO,但其实国内很多企业都有这个问题,就是领导空降、只会吹牛、脱离实际!

很多单位的领导只会空谈,或许是因为命好,有着大公司的一番工作履历,而大多数公司又都是只看工作经验不看实际能力,往往那些大公司待过的人都可以在一些初创公司或者小公司找到不错的职位,然后拿出他们在大公司的那一套理论开始吹牛,也不考虑是否满足公司实际情况,也不关心实际的项目进展,就瞎指挥,做得到就是他指挥的好,做不好就是基层员工能力不行。

作为一个程序猿,如果遇上这样的领导,真不知道是该换工作还是忍一忍。

你有遇到水货领导吗?快来一吐为快!