GitHub 源代碼被泄露了...

“ 
閱讀本文大概需要 4 分鐘。 ”

GitHub 忽然 “開源” 了自己代碼的一部分，還將它放在了 GitHub 上。

事件起因是這樣的：

TypeScript 的開發(fā)者 Resynth 忽然 Po 了篇文章，表示代碼托管服務 GitHub 的全部源代碼被泄露。

他表示，在向官方 GitHub DMCA 提交的可疑文件中，一個身份不明的人利用 GitHub 應用程序中的一個漏洞，冒充 GitHub 的 CEO 納特?弗里德曼（Nat Friedman）上傳了機密源代碼。

事情一出，在 HN 上激起了網(wǎng)友的熱烈討論，也再次引發(fā)了關于 GitHub 安全問題的思考。

網(wǎng)友 lrvick 表示，包括他在內的許多安全人員，早就對 GitHub 上很多相關漏洞進行了公開演示。但除非 “搞出個病毒”，微軟根本就不承認這些漏洞的存在。

而且，他早就說過，GitHub 提交簽名的部分存在嚴重的設計缺陷，然而如今這件事發(fā)生，他們才引起重視。

所以，這位陌生用戶是怎么做到的？

如何偽造成 CEO 本人泄露代碼？

GitHub 的源代碼管理器 Git，并不能有效地防止用戶假冒。

Git 的提交方式更接近于電子郵件，這也就意味著，用戶可以隨意起用戶名和填寫郵箱，所以做點小手腳也沒關系。

—— 除非提交的信息上有 GitHub CEO 弗里德曼的 GPG 簽名，否則 Git 在提交信息時，根本不會確認這是不是 CEO 本人的提交。（這次有問題的代碼提交，就沒有 CEO 本人的簽名信息）

GPG（GNU Privacy Guard）是一個密鑰軟件，用于加密、簽名通信的內容，也可作為管理非對稱密碼學的密鑰。

除非 GPG 簽名與郵箱地址相關聯(lián)，它并不會對提交對象的真?zhèn)芜M行確認。

也就是說，當你提出一個提交請求到 Git 本地倉庫時，你就會得到一個代表提交請求的哈希值，可以通過它直接跳轉到你的分支。

GitHub 類似于一個 Web 應用程序，負責提供瀏覽器到 Git 底層架構的請求交互，它會將所有的分支保存到一個底層倉庫里，哪怕它不以通常的形式出現(xiàn)在在 URL 架構中。

于是，一位陌生的用戶提交的文件 “光明正大地” 進入了 GitHub 的 DCMA 存儲庫，還偽造成了 CEO 弗里德曼的樣子。

為了做到這一點，這位陌生用戶先是復制了一份 DCMA 存儲庫、搞個分支出來，便于提交要泄露的 GitHub 源代碼；

然后，陌生用戶偽造了弗里德曼的用戶名和郵箱，將它提交了。于是，在 DCMA 存儲庫里，名為弗里德曼的用戶，自己提交了一份 GitHub 源代碼。

CEO 回應后，網(wǎng)友卻炸了

對此，GitHub CEO 弗里德曼做出了回應，表示 GitHub 前段時間不小心混淆了一部分源代碼給客戶，但這不會影響 GitHub 的安全。

他甚至還吟了首勃朗寧的詩：一切都很好，情況也很正常，云雀展翅飛翔，蝸牛在荊棘上爬動，世上一切順當！

但顯然，網(wǎng)友們并不在意這段源碼是不是 CEO 本人泄露的，相反，這件事情再一次激起了他們針對 “GitHub 開源” 這件事本身的怒火。

網(wǎng)友 exabrial：您（指 CEO）認為這是正常情況？你們是不是想通過偽造 / 無效的 DCMA，刪掉其他的什么項目？

CEO 弗里德曼：這邊建議您閱讀 DCMA 工作原理呢。

網(wǎng)友 dannyw：如果 GitHub 真的提倡開源，它就不會是現(xiàn)在這樣。據(jù)我所知，微軟是 RIAA 的成員哦。

網(wǎng)友 dannyw 之所以提到 RIAA（美國唱片業(yè)協(xié)會），是因為 GitHub 前段時間應 RIAA 的要求，直接刪除了 GitHub 上開源的油管視頻下載器?Youtube-dl。

一石激起千層浪，原本 GitHub 最初刪掉的相關項目就 18 個，現(xiàn)在一搜，竟然冒出了 4000 多個。

有開發(fā)者稱，這次的 “偽造事件” 估計與 Youtube-dl 項目被刪有關，也可能是偽造者對微軟并不開放 GitHub 源代碼的控訴。

關于 GitHub 開源，還得從微軟收購 GitHub 后的一系列舉動說起。

微軟和它的 “開源”

自 2018 年微軟收購 GitHub 后，一直聲稱自己 “致力于開源”。

Resynth 表示：“我們已經從大量商業(yè)廣告里看到了（微軟對開源的熱愛），微軟打的這些廣告，的確讓它處在開源開發(fā)的最前沿。”

但與微軟提倡的 “開源” 理念相對，它直接封禁了好幾次社區(qū)開源的代碼。

鬧到最近，就是這次偽造事件導火索的 “Youtube-dl 被封禁事件”。

有開發(fā)者表示，想要讓 GitHub 開放自己的源碼，如今在微軟這看來，是絕對不可能的。

Resynth 也表示，由于有閉源軟件的存在、以及 Git 的擴張，讓 GitHub 看起來更像是一個試圖 “包含開源項目” 的平臺，而非開源本身。

例如，今年 6 月，GitHub 曾經出現(xiàn)過宕機兩小時的情況，這期間，成千上萬個開源項目無法被訪問和使用。

對于這次 GitHub 泄露源碼的事件，你怎么看？

已經走丟的 GitHub 源碼網(wǎng)址：
https://web.archive.org/web/2/https://github.com/github/dmca/tree/565ece486c7c1652754d7b6d2b5ed9cb4097f9d5

參考鏈接：
https://arstechnica.com/information-technology/2020/11/githubs-source-code-was-leaked-on-github-last-night-sort-of/
https://www.zdnet.com/article/github-denies-getting-hacked/
https://resynth1943.net/articles/github-source-code-leak/
https://news.ycombinator.com/item?id=24994746
https://www.theverge.com/2020/6/29/21306674/github-down-errors-outage-june-2020

來源公眾號：量子位

版權申明：內容來源網(wǎng)絡，版權歸原創(chuàng)者所有。除非無法確認，我們都會標明作者及出處，如有侵權煩請告知，我們會立即刪除并表示歉意。謝謝!

---

感謝閱讀