张江印度籍员工锁代码事件最新后续:夺回权限与代码,印度小团伙全部被开除!涉事印度籍组长,连同7名同校校友员工,已经被公司全部辞退。
为什么一个只有9人的研发小组,能让几十号开发人员在工位上干坐两天?
2026年6月底,公司为了推进所谓的国际化团队建设,从外部引入了一名印度籍研发组长。入职时间不长,只有四个月,但在面试阶段表现出较强的技术背景与沟通能力,很快获得管理层信任,被直接任命为小组负责人。
更关键的一步,是权限的下放。
不仅给了他代码仓库管理员级别的最高权限,还赋予了独立招聘权。这两个动作叠加在一起,其实已经悄悄改变了团队结构的控制方式。
问题真正失控,发生在权限调整之后。
核心代码模块逐步被集中到这个小组手中,关键分支的访问权限被重新配置,本土开发人员的读写权限被缩减甚至取消。原本分散协作的开发结构,逐渐变成少数人集中控制关键仓库的状态。
当公司需要紧急调用核心代码推进项目时,才发现访问路径被限制,部分关键分支无法正常操作,系统权限结构已经发生变化。几十号研发人员被迫停在进度之外,项目推进直接停滞。
这一停,就是两天。
办公室里出现的画面很典型:有人不断刷新代码仓库界面,有人尝试联系管理员权限持有者,还有人临时改需求方案,但所有路径都绕不开那个被集中控制的核心入口。
管理层随后启动紧急权限通道,通过更高层级账户重新接管代码库控制权。系统恢复访问后,公司迅速对该研发组进行内部审查,最终涉事的印度籍组长及其7名校友员工被全部辞退。
事情到这里,看似结束,但真正值得关注的点,其实在后面。
从技术管理角度看,这类问题并不是“人”的问题,而是权限结构的问题。扩充信息1中提到的最小权限原则,在国际软件工程体系里是基础规则。
代码仓库通常会被拆分为不同等级权限,例如开发权限、审核权限、管理员权限相互隔离,并通过多人审批机制限制单点操作。
但在这起事件中,权限集中到了个人,再叠加招聘权,使得团队结构与技术权限形成了叠加控制,这就让原本应当制衡的系统出现了空隙。
另一个容易被忽视的点,是内部威胁模型的存在。在信息安全领域,“内部人员风险”指的不是外部攻击,而是拥有合法权限的人在制度缺失情况下造成的系统性影响。
很多成熟企业会通过审计日志、多人审批、权限分离来降低这种风险,而不是依赖个人信任。
这次事件,真正造成停摆的并不是单一操作,而是权限设计本身缺少边界。
一个人既能招人,又能分配核心代码权限,还能调整访问控制,这种结构一旦缺乏约束,就会放大团队内部的任何变化。
事情结束后,公司恢复了代码库正常运行,但留下的问题并没有消失。技术团队重新梳理权限体系,把原本集中在单点的权限拆分到多个角色中,同时增加审计与审批流程。
