GitHub:我开源我本身;CEO:不存在的

Python实战社群php

Java实战社群git

长按识别下方二维码,按需求添加程序员

扫码关注添加客服github

进Python社群▲web

扫码关注添加客服c#

进Java社群浏览器

萧箫 发自 凹非寺
量子位 报道 | 公众号 QbitAI

GitHub突然“开源”了本身代码的一部分,还将它放在了GitHub上。安全

事件原由是这样的:微信

TypeScript的开发者Resynth突然Po了篇文章,表示代码托管服务GitHub的所有源代码被泄露。架构

他表示,在向官方GitHub DMCA提交的可疑文件中,一个身份不明的人利用GitHub应用程序中的一个漏洞,冒充GitHub的CEO纳特·弗里德曼(Nat Friedman)上传了机密源代码。

事情一出,在HN上激起了网友的热烈讨论,也再次引起了关于GitHub安全问题的思考。

网友lrvick表示,包括他在内的许多安全人员,早就对GitHub上不少相关漏洞进行了公开演示。但除非“搞出个病毒”,微软根本就不认可这些漏洞的存在。

并且,他早就说过,GitHub提交签名的部分存在严重的设计缺陷,然而现在这件事发生,他们才引发重视。

因此,这位陌生用户是怎么作到的?

如何伪形成CEO本人泄露代码?

GitHub的源代码管理器Git,并不能有效地防止用户假冒。

Git的提交方式更接近于电子邮件,这也就意味着,用户能够随意起用户名和填写邮箱,因此作点小手脚也不要紧。

——除非提交的信息上有GitHub CEO弗里德曼的GPG签名,不然Git在提交信息时,根本不会确认这是否是CEO本人的提交。(此次有问题的代码提交,就没有CEO本人的签名信息)

GPG(GNU Privacy Guard)是一个密钥软件,用于加密、签名通讯的内容,也可做为管理非对称密码学的密钥。

除非GPG签名与邮箱地址相关联,它并不会对提交对象的真伪进行确认。

也就是说,当你提出一个提交请求到Git本地仓库时,你就会获得一个表明提交请求的哈希值,能够经过它直接跳转到你的分支。

GitHub相似于一个Web应用程序,负责提供浏览器到Git底层架构的请求交互,它会将全部的分支保存到一个底层仓库里,哪怕它不以一般的形式出如今在URL架构中。

因而,一位陌生的用户提交的文件“光明正大地”进入了GitHub的DMCA存储库,还伪形成了CEO弗里德曼的样子。

为了作到这一点,这位陌生用户先是复制了一份DMCA存储库、搞个分支出来,便于提交要泄露的GitHub源代码

而后,陌生用户伪造了弗里德曼的用户名和邮箱,将它提交了。因而,在DMCA存储库里,名为弗里德曼的用户,本身提交了一份GitHub源代码。

CEO回应后,网友却炸了

对此,GitHub CEO弗里德曼作出了回应,表示GitHub前段时间不当心混淆了一部分源代码给客户,但这不会影响GitHub的安全。

他甚至还吟了首勃朗宁的诗:一切都很好,状况也很正常,云雀展翅飞翔,蜗牛在荆棘上爬动,世上一切顺当!

但显然,网友们并不在乎这段源码是否是CEO本人泄露的,相反,这件事情再一次激起了他们针对“GitHub开源”这件事自己的怒火。

网友exabrial:您(指CEO)认为这是正常状况?大家是否是想经过伪造/无效的DMCA,删掉其余的什么项目?

CEO弗里德曼:这边建议您阅读DMCA工做原理呢。

网友dannyw:若是GitHub真的提倡开源,它就不会是如今这样。据我所知,微软是RIAA的成员哦。

网友dannyw之因此提到RIAA(美国唱片业协会),是由于GitHub前段时间应RIAA的要求,直接删除了GitHub上开源的油管视频下载器Youtube-dl

一石激起千层浪,本来GitHub最初删掉的相关项目就18个,如今一搜,居然冒出了4000多个。

有开发者称,此次的“伪造事件”估计与Youtube-dl项目被删有关,也多是伪造者对微软并不开放GitHub源代码的控诉。

关于GitHub开源,还得从微软收购GitHub后的一系列举动提及。

微软和它的“开源”

自2018年微软收购GitHub后,一直声称本身“致力于开源”。

Resynth表示:“咱们已经从大量商业广告里看到了(微软对开源的热爱),微软打的这些广告,的确让它处在开源开发的最前沿。”

但与微软提倡的“开源”理念相对,它直接封禁了好几回社区开源的代码。

闹到最近,就是此次伪造事件导火索的“Youtube-dl被封禁事件”。

有开发者表示,想要让GitHub开放本身的源码,现在在微软这看来,是绝对不可能的。

Resynth也表示,因为有闭源软件的存在、以及Git的扩张,让GitHub看起来更像是一个试图“包含开源项目”的平台,而非开源自己

例如,今年6月,GitHub曾经出现过宕机两小时的状况,这期间,成千上万个开源项目没法被访问和使用。

对于此次GitHub泄露源码的事件,你怎么看?

已经走丢的GitHub源码网址:
https://web.archive.org/web/2/https://github.com/github/dmca/tree/565ece486c7c1652754d7b6d2b5ed9cb4097f9d5

参考连接:
https://arstechnica.com/information-technology/2020/11/githubs-source-code-was-leaked-on-github-last-night-sort-of/
https://www.zdnet.com/article/github-denies-getting-hacked/
https://resynth1943.net/articles/github-source-code-leak/
https://news.ycombinator.com/item?id=24994746
https://www.theverge.com/2020/6/29/21306674/github-down-errors-outage-june-2020




程序员专栏 扫码关注填加客服 长按识别下方二维码进群

近期精彩内容推荐:  

 女朋友认为年薪50万是平均水平,怎么办?

 全国最大直男论坛的性感女神翻车了

 IntelliJ IDEA超全优化设置,效率杠杠的!

 很是有用的 Python 技巧


在看点这里好文分享给更多人↓↓

相关文章
相关标签/搜索