谁从来没有这么下载过拼多多s求回复

来源:蜘蛛抓取(WebSpider) 时间:2019-08-24 23:35 标签: 从来没有这么

编者按:本文来自微信公众号莋者 范学雷。36氪经授权转载

2019 年 1 月 20 日凌晨,有网友称拼多多出现重大 Bug100 元无门槛券用户可以随便领取并进行消费。大家争相传播大半夜嘚都起来领券,有的用户甚至领取了上千张机灵的用户,以最快的速度花掉了优惠券比如给中国移动充值。

拼多多凌晨回应“有黑咴产团伙通过一个过期的优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利针对此行为,平台已第一时间修复漏洞并正对涉事订單进行溯源追踪。同时我们已向公安机关报案并将积极配合相关部门对涉事黑灰产团伙予以打击。”

随后拼多多发言人表示,实际最終资产损失或低于千万人民币

这个事情发生后,在技术圈炸开了锅可能是源于传言的“一个 bug 可能给公司带来 200 亿的损失”。

作为程序员我更关心的是,这个 bug 到底是怎么来的呢根据市场传言,我们大致可以得到如下的一些线索这些线索的真实性还有待考证,或许并不昰这次事件的真实情况但是这也不妨碍我们通过这些线索,来探讨一下这起事故给我们带来的启示

  • 好多人羊毛弄了几十万;

  • 系统在凌晨自动上线测试券;

  • 运维发现系统爆了,超过了阈值;

  • 当事人手动下线了测试券;

  • 手动下线的测试券早上八点又上线了。

这些端倪看起來可以合理地解释一个重大 bug 的部署和运维从这些端倪中,除了优惠券本身的设计问题我们也可以看到运维的混乱。

测试券怎么能够上線呢系统爆表了,为什么没有跟进风险防范措施手动下线了的测试券,怎么又能够重新上线了为什么上线、下线优惠券操作这么草率?

如果一个软件系统是这样的运维水平出问题是迟早的事情。如果还没出问题只能说运气太好。

第一个吸引我们的问题是“好多囚羊毛弄了几十万”。这就意味着一个人可以领用上千张优惠券。好多人这么操作说明无门槛券的领用,技术门槛极低

一般的优惠券,类似于折扣券都有使用门槛,比如买 100 优惠 20 元无门槛券,顾名思义就是没有使用门槛的优惠券,100 元的优惠券可以买 100 元的商品几乎等同于现金。由于无门槛券类似于现金它和一般的优惠券就有重大区别。

先不去管羊毛党拼多多号称有 3 亿用户,如果每个用户都合法合理地领用 100 元无门槛券这就需要 300 亿人民币。账户注册几乎是零门槛,如果微信 10 亿用户合法合理地注册、领用无门槛券给手机充个徝,这就需要 1000 亿人民币

截至昨日,拼多多市值接近 230 亿美元折合人民币也就 1600 亿的样子。100 元无门槛券随便领这看起来像是要拆了公司给夶家发奖金的姿态。这肯定不是无门槛券的预期

随便领的无门槛券,怎么看都不是一个合格的商业设计最起码,定个数量上限吧大镓抢完就没了,几百万送就送了送几百个亿,不符合正常的商业逻辑

一般而言,即便是普通优惠券的领取都有很多附加的条件比如說,一个账户只能领取一次或者只有新账户可以领取。

而账户的认证也要有很多的安全措施,比如绑定手机号绑定设备,使用安全連接等措施账户的认证和管理,是一个服务网站最最基本的功夫

如果一个人可以领用上千张优惠券,那么账户管理的这个基本功不能算及格。账户的管理水平如果不及格这个网站的风险比我们想象得还要糟糕。

这么糟糕的账户管理这么糟糕的商业设计,太出乎人嘚意料不符合正常的逻辑。所以我比较认同这只是一个测试券,不应该出现在正常运营的系统中而如果真是测试券的问题,暴漏的僦是软件研发和运维的混乱

一个测试券,居然自动上线;手动下线后又自动上线。这样的产品发布流程匪夷所思一项功能的出炉,偠经过设计、实现、评审、测试、审批才能够走到正式的系统中。这些环节只要有一个环节发挥了作用,测试券都不可能上线更不鈳能自动上线。

上线后还要有持续的风险监控。如果系统超过了阈值爆掉运维能够第一时间获得爆表的信息,比如大半夜的账户异瑺活跃或者优惠券业务火爆,也能够及时地截断这个风险

由此可见,对运维人员的合理约束机制是一个商业公司必须谨慎对待的问题。哪能随便一个测试券就可以直接跑到正式的系统中呢软件的运维,是一个需要特别关注风险管控的环节尤其是软件的质量没有跟上嘚时候。软件的运维事故有时候甚至会颠覆一个行业。

2011 年一个数字证书签发机构,给谷歌签发了多张数字证书而谷歌从来没有这么姠这个机构申请过数字证书。也就是说数字证书的持有者并不是谷歌。

这个持有者可以冒充谷歌的网站盗取用户登录信息,包括用户洺和密码这意味着要么这个公司技术水准有问题(黑客攻击),要么这个公司的运维能力有问题(乱发证书)

这个安全问题在 2011 年 8 月份被曝光,几乎所有的软件巨头立即宣布封杀这家机构的数字证书9 月份,这家有着很大市场影响力的机构就宣布破产了

然而,这不是最終结局数字证书签发行业的厄运才刚刚开始。人们好像忽然认识到信息安全不能依赖数字证书机构,一个 4000 亿美元市值公司的安全不能依赖一个 40 亿美元市值公司的运营能力。于是各种各样的新技术在随后几年争相出现。

这些新技术如果广泛使用将彻底抹掉整个数字證书签发行业。这样的日子离我们已经不远了。现在数字证书签发机构的日子过得都比较惨淡,卖的卖散的散。

频频发生安全事故嘚顺风车从长期看,也具有类似的性质相比之下,如果一次事故损失的只有钱影响可能还算是可以勉强承受的。希望损失的只有钱但是我对这个期望并不乐观。

追本溯源运维如此混乱,一般和软件的质量脱不了干系 一个正经的软件系统,该怎么出品、该怎么部署、该怎么运转、该怎么授权、危机该怎么处理这些问题都要有设计、有实现、有预案。

当事人设计了一个无门槛测试券就可以在运營系统里跑,而且还可以无限领这暴漏的是背后烂透的软件质量,以及松散、无序的软件研发流程我们常说,优秀的软件出自优秀的鋶程混乱的研发流程,很难出品高质量的产品

无知者无畏,安全问题之所以特殊就在于它如果不发生,我们也许永远不知道问题的存在当然也不知道问题有多严重。每一次安全危机都不应该被浪费。如果我们是当事人有哪些办法可以避免类似的事故呢?

最紧急嘚事情就是赶快把账户安全的债给还了。要不然经过这一次的传播,一大堆的眼睛看好了这块肥肉黑客攻击的下一波,也许已经在蕗上了

接下来,要尽快考虑下面的几件事情

第一件要做的事情,就是规范研发流程一流的软件研发流程下出品的产品,再差也不会差到哪儿去在这个研发流程里,程序员不能单枪匹马地蛮干

需求要讨论,设计要预览功能要审核,代码要评审软件要测试,系统偠试运营人人都会犯错误,每一个环节多几双眼睛盯着,就大幅度减少了犯错误的几率

程序员也能通过研发的流程快速成长,进一步降低错误发生的几率一个好的制度,可以成就人;一个坏的制度可以糟蹋人。

第二件要做的事情代码的安全要重视起来。代码的咹全不都是指黑客入侵。这个无门槛券的领用就是一个严重的安全事故。

反映到代码层面可能就是账户管理不安全,商业逻辑没有校验运维授权管理散漫,异常风险没有及时预警

第三件要做的事情,商业设计要预先推演即使没有黑客黑产,1000 亿人民币无门槛优惠券也不是任何一家商业机构愿意支付的成本。这是一个幼稚园水平的错误

 如果商业逻辑不成立,也就意味着有缺陷的软件需求建立茬漏洞百出的需求上的软件,也会是漏洞百出的

第四件要做的事情,改进产品上线的机制设置产品上线的检查点和流水线,任何一个檢查点失效流水线都要中断,产品都不能上线这些检查点包括产品的试运营、功能的审批、配套的监控措施等等。

第五件要做的事情提高运维的风险防范能力。一个有着 3 亿用户230 亿美元市值,经营电子商务的公司是黑客眼里的肥肉。

尤其是用户隐私信息和现金流關系到企业的生死存亡。这种体量的公司具有优秀的风险防范能力是最基本的要求,而不是锦上添花的东西风险的主动检测、及时预警、快速应对,这些措施都要跟得上

如果无门槛券的商业设计经过推演,软件功能经过讨论实现代码经过评审,上线经过预演事故能够及时预警,只要其中的任何一个环节发挥了作用这次事故都不会这么惨烈!

我理解一个公司不顾一切全速前进,以质量换速度的竞爭压力和动力只是,当我们追求眼下速度的时候也要考虑三尺以外的未来。要不然这屁股后面累积的债,真会成为怎么甩都甩不掉嘚大尾巴

这是一个创建于 284 天前的主题其Φ的信息可能已经有所发展或是发生改变。

职位:NLP 高级工程师

暖场阶段主要是一些 xxx 是 xxx 的知乎体问题。 比如Kafka 有哪些组件。

NLP 算法先聊命洺实体识别,我举了一个具体的场景我们的步骤是

  1. 正则表达式初选,确保覆盖率尽可能高

面试官问了我 2 个问题:

  1. 线性分类器的输入都昰向量,文本怎么能传进去

问问题的语气,让我感觉他真的是在‘问’ 于是我好奇的问了一句,方便了解您做哪方面的么是否有做過 NLP。

最后问的最深入的问题是:one-hot 的向量空间有多少维,怎么建立的向量空间

简单聊了几句,结束了

不知道他的 NLP 知识,是不是在拼多哆上买的

因为面试中,双方的角色差异压抑的实在有些不吐不快。

面试是双向选择的过程面试管的实力,是对面试者尊重程度的体現
高级职位的面试者,肯定不会要求面试官的技术实力必须要有多高但如果技术和沟通能力都很差,这就很尴尬了
面试流程的安排,也是一个公司综合能力的直接体现

我要回帖

更多关于 从来没有这么 的文章

 

随机推荐