GitHub:我開(kāi)源我自己;CEO:不存在的
蕭簫 發(fā)自 凹非寺
量子位 報(bào)道 | 公眾號(hào) QbitAI
GitHub忽然“開(kāi)源”了自己代碼的一部分,還將它放在了GitHub上。
事件起因是這樣的:
TypeScript的開(kāi)發(fā)者Resynth忽然Po了篇文章,表示代碼托管服務(wù)GitHub的全部源代碼被泄露。
他表示,在向官方GitHub DMCA提交的可疑文件中,一個(gè)身份不明的人利用GitHub應(yīng)用程序中的一個(gè)漏洞,冒充GitHub的CEO納特·弗里德曼(Nat Friedman)上傳了機(jī)密源代碼。
事情一出,在HN上激起了網(wǎng)友的熱烈討論,也再次引發(fā)了關(guān)于GitHub安全問(wèn)題的思考。
網(wǎng)友lrvick表示,包括他在內(nèi)的許多安全人員,早就對(duì)GitHub上很多相關(guān)漏洞進(jìn)行了公開(kāi)演示。但除非“搞出個(gè)病毒”,微軟根本就不承認(rèn)這些漏洞的存在。
而且,他早就說(shuō)過(guò),GitHub提交簽名的部分存在嚴(yán)重的設(shè)計(jì)缺陷,然而如今這件事發(fā)生,他們才引起重視。
所以,這位陌生用戶(hù)是怎么做到的?
?
如何偽造成CEO本人泄露代碼?
GitHub的源代碼管理器Git,并不能有效地防止用戶(hù)假冒。
Git的提交方式更接近于電子郵件,這也就意味著,用戶(hù)可以隨意起用戶(hù)名和填寫(xiě)郵箱,所以做點(diǎn)小手腳也沒(méi)關(guān)系。
——除非提交的信息上有GitHub CEO弗里德曼的GPG簽名,否則Git在提交信息時(shí),根本不會(huì)確認(rèn)這是不是CEO本人的提交。(這次有問(wèn)題的代碼提交,就沒(méi)有CEO本人的簽名信息)
GPG(GNU Privacy Guard)是一個(gè)密鑰軟件,用于加密、簽名通信的內(nèi)容,也可作為管理非對(duì)稱(chēng)密碼學(xué)的密鑰。
除非GPG簽名與郵箱地址相關(guān)聯(lián),它并不會(huì)對(duì)提交對(duì)象的真?zhèn)芜M(jìn)行確認(rèn)。
也就是說(shuō),當(dāng)你提出一個(gè)提交請(qǐng)求到Git本地倉(cāng)庫(kù)時(shí),你就會(huì)得到一個(gè)代表提交請(qǐng)求的哈希值,可以通過(guò)它直接跳轉(zhuǎn)到你的分支。
GitHub類(lèi)似于一個(gè)Web應(yīng)用程序,負(fù)責(zé)提供瀏覽器到Git底層架構(gòu)的請(qǐng)求交互,它會(huì)將所有的分支保存到一個(gè)底層倉(cāng)庫(kù)里,哪怕它不以通常的形式出現(xiàn)在在URL架構(gòu)中。
于是,一位陌生的用戶(hù)提交的文件“光明正大地”進(jìn)入了GitHub的DMCA存儲(chǔ)庫(kù),還偽造成了CEO弗里德曼的樣子。
為了做到這一點(diǎn),這位陌生用戶(hù)先是復(fù)制了一份DMCA存儲(chǔ)庫(kù)、搞個(gè)分支出來(lái),便于提交要泄露的GitHub源代碼;
然后,陌生用戶(hù)偽造了弗里德曼的用戶(hù)名和郵箱,將它提交了。于是,在DMCA存儲(chǔ)庫(kù)里,名為弗里德曼的用戶(hù),自己提交了一份GitHub源代碼。
?
CEO回應(yīng)后,網(wǎng)友卻炸了
對(duì)此,GitHub CEO弗里德曼做出了回應(yīng),表示GitHub前段時(shí)間不小心混淆了一部分源代碼給客戶(hù),但這不會(huì)影響GitHub的安全。
他甚至還吟了首勃朗寧的詩(shī):一切都很好,情況也很正常,云雀展翅飛翔,蝸牛在荊棘上爬動(dòng),世上一切順當(dāng)!
但顯然,網(wǎng)友們并不在意這段源碼是不是CEO本人泄露的,相反,這件事情再一次激起了他們針對(duì)“GitHub開(kāi)源”這件事本身的怒火。
網(wǎng)友exabrial:您(指CEO)認(rèn)為這是正常情況?你們是不是想通過(guò)偽造/無(wú)效的DMCA,刪掉其他的什么項(xiàng)目?
CEO弗里德曼:這邊建議您閱讀DMCA工作原理呢。
網(wǎng)友dannyw:如果GitHub真的提倡開(kāi)源,它就不會(huì)是現(xiàn)在這樣。據(jù)我所知,微軟是RIAA的成員哦。
網(wǎng)友dannyw之所以提到RIAA(美國(guó)唱片業(yè)協(xié)會(huì)),是因?yàn)镚itHub前段時(shí)間應(yīng)RIAA的要求,直接刪除了GitHub上開(kāi)源的油管視頻下載器Youtube-dl。
一石激起千層浪,原本GitHub最初刪掉的相關(guān)項(xiàng)目就18個(gè),現(xiàn)在一搜,竟然冒出了4000多個(gè)。
有開(kāi)發(fā)者稱(chēng),這次的“偽造事件”估計(jì)與Youtube-dl項(xiàng)目被刪有關(guān),也可能是偽造者對(duì)微軟并不開(kāi)放GitHub源代碼的控訴。
關(guān)于GitHub開(kāi)源,還得從微軟收購(gòu)GitHub后的一系列舉動(dòng)說(shuō)起。
?
微軟和它的“開(kāi)源”
自2018年微軟收購(gòu)GitHub后,一直聲稱(chēng)自己“致力于開(kāi)源”。
Resynth表示:“我們已經(jīng)從大量商業(yè)廣告里看到了(微軟對(duì)開(kāi)源的熱愛(ài)),微軟打的這些廣告,的確讓它處在開(kāi)源開(kāi)發(fā)的最前沿。”
但與微軟提倡的“開(kāi)源”理念相對(duì),它直接封禁了好幾次社區(qū)開(kāi)源的代碼。
鬧到最近,就是這次偽造事件導(dǎo)火索的“Youtube-dl被封禁事件”。
有開(kāi)發(fā)者表示,想要讓GitHub開(kāi)放自己的源碼,如今在微軟這看來(lái),是絕對(duì)不可能的。
Resynth也表示,由于有閉源軟件的存在、以及Git的擴(kuò)張,讓GitHub看起來(lái)更像是一個(gè)試圖“包含開(kāi)源項(xiàng)目”的平臺(tái),而非開(kāi)源本身。
例如,今年6月,GitHub曾經(jīng)出現(xiàn)過(guò)宕機(jī)兩小時(shí)的情況,這期間,成千上萬(wàn)個(gè)開(kāi)源項(xiàng)目無(wú)法被訪(fǎng)問(wèn)和使用。
對(duì)于這次GitHub泄露源碼的事件,你怎么看?
https://web.archive.org/web/2/https://github.com/github/dmca/tree/565ece486c7c1652754d7b6d2b5ed9cb4097f9d5
https://arstechnica.com/information-technology/2020/11/githubs-source-code-was-leaked-on-github-last-night-sort-of/
https://www.zdnet.com/article/github-denies-getting-hacked/
https://resynth1943.net/articles/github-source-code-leak/
https://news.ycombinator.com/item?id=24994746
https://www.theverge.com/2020/6/29/21306674/github-down-errors-outage-june-2020
有道無(wú)術(shù),術(shù)可成;有術(shù)無(wú)道,止于術(shù)
歡迎大家關(guān)注Java之道公眾號(hào)
好文章,我在看??