GitHub:我开源了我自己 ?

发布时间:2021-11-30 06:24:48


萧箫 发自 凹非寺
量子位 报道 | 公众号 QbitAI

大家好,我是阿逛。


前几天有一个新闻:GitHub忽然“开源”了自己代码的一部分,还将它放在了GitHub上。


事件起因是这样的:


TypeScript的开发者Resynth忽然Po了篇文章,表示代码托管服务GitHub的全部源代码被泄露。



他表示,在向官方GitHub DMCA提交的可疑文件中,一个身份不明的人利用GitHub应用程序中的一个漏洞,冒充GitHub的CEO纳特?弗里德曼(Nat Friedman)上传了机密源代码。


事情一出,在HN上激起了网友的热烈讨论,也再次引发了关于GitHub安全问题的思考。


网友lrvick表示,包括他在内的许多安全人员,早就对GitHub上很多相关漏洞进行了公开演示。但除非“搞出个病毒”,微软根本就不承认这些漏洞的存在。


而且,他早就说过,GitHub提交签名的部分存在严重的设计缺陷,然而如今这件事发生,他们才引起重视。



所以,这位陌生用户是怎么做到的?


如何伪造成CEO本人泄露代码?

GitHub的源代码管理器Git,并不能有效地防止用户假冒。


Git的提交方式更接*于电子邮件,这也就意味着,用户可以随意起用户名和填写邮箱,所以做点小手脚也没关系。


??除非提交的信息上有GitHub CEO弗里德曼的GPG签名,否则Git在提交信息时,根本不会确认这是不是CEO本人的提交。(这次有问题的代码提交,就没有CEO本人的签名信息)



GPG(GNU Privacy Guard)是一个密钥软件,用于加密、签名通信的内容,也可作为管理非对称密码学的密钥。



除非GPG签名与邮箱地址相关联,它并不会对提交对象的真伪进行确认。


也就是说,当你提出一个提交请求到Git本地仓库时,你就会得到一个代表提交请求的哈希值,可以通过它直接跳转到你的分支。



GitHub类似于一个Web应用程序,负责提供浏览器到Git底层架构的请求交互,它会将所有的分支保存到一个底层仓库里,哪怕它不以通常的形式出现在在URL架构中。


于是,一位陌生的用户提交的文件“光明正大地”进入了GitHub的DMCA存储库,还伪造成了CEO弗里德曼的样子。



为了做到这一点,这位陌生用户先是复制了一份DMCA存储库、搞个分支出来,便于提交要泄露的GitHub源代码


然后,陌生用户伪造了弗里德曼的用户名和邮箱,将它提交了。于是,在DMCA存储库里,名为弗里德曼的用户,自己提交了一份GitHub源代码。


CEO回应后,网友却炸了

对此,GitHub CEO弗里德曼做出了回应,表示GitHub前段时间不小心混淆了一部分源代码给客户,但这不会影响GitHub的安全。


他甚至还吟了首勃朗宁的诗:一切都很好,情况也很正常,云雀展翅飞翔,蜗牛在荆棘上爬动,世上一切顺当!



但显然,网友们并不在意这段源码是不是CEO本人泄露的,相反,这件事情再一次激起了他们针对“GitHub开源”这件事本身的怒火。



网友exabrial:您(指CEO)认为这是正常情况?你们是不是想通过伪造/无效的DMCA,删掉其他的什么项目?


CEO弗里德曼:这边建议您阅读DMCA工作原理呢。


网友dannyw:如果GitHub真的提倡开源,它就不会是现在这样。据我所知,微软是RIAA的成员哦。



网友dannyw之所以提到RIAA(美国唱片业协会),是因为GitHub前段时间应RIAA的要求,直接删除了GitHub上开源的油管视频下*Youtube-dl


这个事件 逛逛GitHub 也发过文章:这个 72k Star 的 GitHub 项目被封了



一石激起千层浪,原本GitHub最初删掉的相关项目就18个,现在一搜,竟然冒出了4000多个。



有开发者称,这次的“伪造事件”估计与Youtube-dl项目被删有关,也可能是伪造者对微软并不开放GitHub源代码的控诉。


关于GitHub开源,还得从微软收购GitHub后的一系列举动说起。


微软和它的“开源”

自2018年微软收购GitHub后,一直声称自己“致力于开源”。


Resynth表示:“我们已经从大量商业广告里看到了(微软对开源的热爱),微软打的这些广告,的确让它处在开源开发的最前沿。”


但与微软提倡的“开源”理念相对,它直接封禁了好几次社区开源的代码。


闹到最*,就是这次伪造事件导火索的“Youtube-dl被封禁事件”。



有开发者表示,想要让GitHub开放自己的源码,如今在微软这看来,是绝对不可能的。


Resynth也表示,由于有闭源软件的存在、以及Git的扩张,让GitHub看起来更像是一个试图“包含开源项目”的*台,而非开源本身


例如,今年6月,GitHub曾经出现过宕机两小时的情况,这期间,成千上万个开源项目无法被访问和使用。



对于这次GitHub泄露源码的事件,你怎么看?


已经走丢的GitHub源码网址:
https://web.archive.org/web/2/https://github.com/github/dmca/tree/565ece486c7c1652754d7b6d2b5ed9cb4097f9d5


参考链接:
https://arstechnica.com/information-technology/2020/11/githubs-source-code-was-leaked-on-github-last-night-sort-of/
https://www.zdnet.com/article/github-denies-getting-hacked/
https://resynth1943.net/articles/github-source-code-leak/
https://news.ycombinator.com/item?id=24994746
https://www.theverge.com/2020/6/29/21306674/github-down-errors-outage-june-2020


逛逛GitHub交流群已成立

公众号运营至今,离不开小伙伴们的支持。为了给小伙伴们提供一个互相交流的*台,特地开通了逛逛GitHub官方交流群。需要进群的朋友,可长按扫描下方二维码加我微信 focusoncode,备注?进群,?交流群二维码在我的朋友圈


推荐阅读
1.?基于 SSM?的分布式敏捷开发系统架构
2.?这个 72k Star 的 GitHub 项目被封了
3.?你会在 GitHub上面找项目吗?
4.?漫画:为什么C语言永不过时?






喜欢文章,点个在看?

相关文档

  • 中国新年拜年礼仪
  • 密室逃脱被npc抓住了怎么办 密室逃脱被鬼抓住会怎样
  • 有关申请日本留学签证注意事项
  • Spring面试题总结
  • 长沙臭豆腐的危害 常吃臭豆腐的危害
  • 第一次电脑绘画
  • 龙生肖摩羯座的女人属龙处女座男生性格
  • 电火锅涂层掉了对人体有害吗
  • 企业中的经营管理过程
  • 草木皆兵成语典故
  • 如何牙齿矫正呢
  • 韩国制造英语怎么写
  • 开展提高农村儿童白血病和儿童先天性心脏病医疗保障水平试点工作评估报告
  • 实习护士的自我介绍范文
  • 解决Hystrix Dashboard出现Unable to connect to Command Metric Stream错误
  • 直播间进不去什么原因
  • 怎么拆手表把芯图解
  • Digi Digimesh无线自组网协议和模块介绍
  • 学校时的分布式数据库读书笔记(4)
  • 天性的意思
  • 希施金是哪个国家的
  • 普通员工的辞职报告格式
  • 《汤姆索亚历险记》的优秀读后感800字
  • 真诚地对女人说一句话
  • 四年时光,匆匆而过
  • 背部护理手法
  • UI设计师必备技能是什么 常见动效类型有哪些
  • 致同事的感谢信
  • 作文感恩父母200字
  • 利用IntelliJ IDEA社区版开发servlet
  • 猜你喜欢

  • 手机qq微视怎么删除
  • 广东出台高校毕业生就业新政策
  • 1-业务组合战略方法论 共17页
  • 管理学原理 12章 控制.
  • 2009年9月英语高级口译真题答案
  • 基于混沌遗传算法的舰船电力系统故障恢复
  • 行政部前台试用期工作总结范文
  • JavaMailSender 无法加载
  • 最新文献综述_商业银行信用风险管理
  • 描写四季的成语76872
  • 【中职教师教学工作计划】教师教学详细工作计划
  • 玉田县五洲同辉商贸有限公司企业信用报告-天眼查
  • 商务英语应用写作样章CHAPTER5BUSINESS
  • 柏丽慕达时装学院服装设计专业
  • 春节过年穿什么衣服最好看
  • “3+2”分段培养模式下的《单片机应用技术》课程教学改革研究
  • 苏教版2019-2020学年四年级数学上册期中测试题
  • 配套K12山东省曲阜夫子学校2019届高三化学上学期10月第二次检测试题
  • 文明只差一步看图作文700字600字
  • 梅州市人民政府关于表彰2010年度“三品”认证企业的决定
  • 上海嘉定某社区736例消化性溃疡的特点分析
  • 关于商务咨询服务合同样式
  • 城乡一体化视角下农村公共产品供给问题研究
  • 通信业对我国区域经济发展影响差异的实证研究——基于东、中、西部地区面板数据的协整模型分析
  • 大学四六级考试写作提高:模板大全(48)
  • 整合RF前沿技术,Qorvo重新起航抢占市场
  • 初一议论文作文:金钱、事业和诚信_750字
  • 电气维修计划表
  • 杭二中白马湖实验学校招生报名
  • 2019年初中优秀作文范文附点评-拥抱阳光
  • java做集群_最近在做集群的问题,所以找了一下
  • TS16949基础知识培训教材
  • 精选-广告艺术设计专业个人英文简历范文-word范文
  • java中final的使用方法
  • 高原地区老年消化性溃疡225例临床分析
  • 高速公路隧道施工技术探讨
  • 国际环境法.ppt
  • MySQL学习笔记
  • 长春版四年级语文上册 25.望庐山瀑布(教案)【新版】
  • 【期末专题复*】人教版九年级数学上册_第22章_二次函数_单元检测试卷(有答案)
  • 2018年精选临床医生个人年终工作总结范文word版本 (2页)
  • 2016年瑟肽晁拇ㄊ〉绾腹こ跫堆沽?艿篮附涌际允蕴
  • 电脑版