重磅！GitHub 全部源代碼被泄露？

點擊上方藍(lán)色“程序猿DD”，選擇“設(shè)為星標(biāo)”

回復(fù)“資源”獲取獨家整理的學(xué)習(xí)資料！

前言

由于內(nèi)部分析基礎(chǔ)設(shè)施的容量已達(dá)到極限，總部設(shè)于俄亥俄州克利夫蘭市的美國KeyBank銀行于今年開始轉(zhuǎn)向云分析計算，同時隨著云存儲技術(shù)的發(fā)展，越來越多的銀行開始考慮將客戶數(shù)據(jù)遷移至云端存儲。專家預(yù)計這將減少銀行75%空間和成本！

但云存儲真的安全嗎？

我突然想起最近各個技術(shù)網(wǎng)站上熱議的一件事情：“GitHub全部源代碼泄露！”

這里所說的源代碼，并非我們廣大用戶存儲在GitHub上的開源代碼，而是指GitHub，其本身自己的代碼！！！

甚至有調(diào)皮的網(wǎng)頁第一時間發(fā)文表示?“GitHub把自己開源了！”

這件事情是怎么被發(fā)現(xiàn)的呢？我們要感謝TypeScript的開發(fā)者Resynth大神，敢于揭露事情的真相。

他在自己的博文中宣布了此事，按照他的說法，他發(fā)現(xiàn)一些非常可疑的提交，這些提交的備注是：“felt cute, might put gh source code on dmca repo now idk”。

似乎是一個身份不明的人冒充GitHub CEO 納特·弗里德曼（Nat Friedman）利用 GitHub 應(yīng)用程序中的漏洞bug，上傳了機(jī)密源代碼。

這些代碼包括 linting 配置、CI 工作流、Dockerfiles 和其他與構(gòu)建相關(guān)的配置文件，以及"This is GitHub.com and GitHub Enterprise."的文案。

事件暴露之后引起廣大開發(fā)者的熱議，因為有一部分開發(fā)者早在很久以前就反饋過類似的程序隱患，但一直沒有引起官方重視及回復(fù)。按網(wǎng)友的說法，微軟似乎從來不承認(rèn)這些問題的存在。

我們先來簡單了解下這個安全漏洞是怎么一回事。

GitHub 的源代碼管理器 Git，提交方式比較像電子郵件，允許用戶隨意填寫用戶名及郵箱地址。所以，任何人大可以用GitHub CEO 納特·弗里德曼（Nat Friedman）的名字進(jìn)行提交，官方完全不會確認(rèn)是否真的是其本人，除非當(dāng)提交信息中包含其密鑰簽名。這次出問題的這些提交，恰巧就是沒有密鑰簽名的。

而真正讓網(wǎng)友炸鍋的，是隨后，真·GitHub CEO 納特·弗里德曼（Nat Friedman）?做的回應(yīng)。

他表示“GitHub 并沒有被黑客入侵，一切依舊正常。所謂泄露的代碼是幾個月前他們不小地將 GitHub Enterprise Server 上一些沒有脫密的源代碼交付給了一些客戶，但一切處于可控范圍，不會影響大家的安全。”

看到這里，真的瞬間想起國內(nèi)一些當(dāng)紅流量小生在粉絲鬧事情況下糟糕的危機(jī)公關(guān)，真的很想問一句GitHub“你們沒有專門的公關(guān)團(tuán)隊嗎？這樣就覺得可以糊弄過去？”

因為之前一些用戶已經(jīng)反饋過GitHub的代碼管理系統(tǒng)早已存在的多項Bug，官方的一直不作為，再加上敷衍了事的態(tài)度，似乎更激起了大家針對GitHub本身的不滿情緒。

例如：

網(wǎng)友 exabrial：您認(rèn)為這是正常情況？那你們是不是還想通過偽造無效的 DCMA，刪掉其他的什么項目？

CEO 弗里德曼：這邊建議您閱讀 DCMA 工作原理呢。（不由自主腦補了他說這一段話時的傲慢臉）

網(wǎng)友 dannyw：如果 GitHub 真的提倡開源，它就不會是現(xiàn)在這樣。微軟可是 RIAA 的成員！（GitHub 前段時間應(yīng) RIAA 的要求，直接刪除了 GitHub 上開源的油管視頻下載器 Youtube-dl，引起了廣大開發(fā)者不滿，也有人認(rèn)為就是有人為了Youtube-dl事件報復(fù)微軟才泄露的本次代碼）

正所謂不作不死，這一下子還有人發(fā)現(xiàn)：GitHub 最初刪掉的相關(guān)項目只有 18 個，而現(xiàn)在竟然變成了 4000 多個！?天知道都是些什么內(nèi)容，藏著什么黑幕！

自從2018年微軟收購了GitHub 之后，GitHub 的開源就開始逐漸變了味道，雖然微軟官方的口徑一直是鼓勵開源，但是實際上已經(jīng)不止一次封印了一些社區(qū)的開源代碼，具體原因，我們只能呵呵了。

此時此刻想起了Ensemble Studios，可能很多人不知道它是什么，但說起帝國時代，應(yīng)該80后都知道。Ensemble Studios就是帝國時代的制作工作室，成立于1995年，于2001年被微軟收入麾下，然后又在2008年9月被微軟關(guān)閉。用他們的員工的話說就是“微軟是一家上市公司，他們只對他們的股東負(fù)責(zé)。”希望同樣的事情，不要出現(xiàn)在GitHub 身上。

你怎么看這件事呢？歡迎留言討論！

DD自研的滬牌代拍業(yè)務(wù)，點擊直達(dá)

【往期推薦】

這本空降京東當(dāng)當(dāng)新書榜TOP1的“算法小抄”是什么來頭？

2020-12-14

Redis 的 8 大數(shù)據(jù)類型，寫得非常好！

2020-12-14

Spring Boot 的2020最后一擊：2.4.1、2.3.7、2.2.12 發(fā)布

2020-12-13

排名前 16 的 Java 工具類，哪個你沒用過？

2020-12-13

GitHub 推出 2020 宇宙新功能：Dark Mode！從此深夜搞開源不再被亮瞎了！

2020-12-12

基于 Token 的多平臺身份認(rèn)證架構(gòu)設(shè)計

2020-12-12

掃一掃，關(guān)注我

一起學(xué)習(xí)，一起進(jìn)步

每周贈書，福利不斷

﹀

﹀

﹀

深度內(nèi)容

推薦加入

歡迎加入知識星球，一起探討技術(shù)架構(gòu)，交流技術(shù)人生。

加入方式，長按下方二維碼：

已在知識星球更新如下：

素質(zhì)二連，走一個