GitHub:我開源我自己;CEO:不存在的

文源:量子位 @QbitAI

GitHub忽然“開源”了自己程式碼的一部分,還將它放在了GitHub上。

事件起因是這樣的

TypeScript的開發者Resynth忽然Po了篇文章,表示程式碼託管服務GitHub的全部原始碼被洩露。

他表示,在向官方GitHub DMCA提交的可疑檔案中,一個身份不明的人利用GitHub應用程式中的一個漏洞,冒充GitHub的CEO納特·弗裡德曼(Nat Friedman)上傳了機密原始碼。

事情一出,在HN上激起了網友的熱烈討論,也再次引發了關於GitHub安全問題的思考。

網友lrvick表示,包括他在內的許多安全人員,早就對GitHub上很多相關漏洞進行了公開演示。但除非“搞出個病毒”,微軟根本就不承認這些漏洞的存在。

而且,他早就說過,GitHub提交簽名的部分存在嚴重的設計缺陷,然而如今這件事發生,他們才引起重視。

所以,這位陌生使用者是怎麼做到的?

如何偽造成CEO本人洩露程式碼?

GitHub的原始碼管理器Git,並不能有效地防止使用者假冒。

Git的提交方式更接近於電子郵件,這也就意味著,使用者可以隨意起使用者名稱和填寫郵箱,所以做點小手腳也沒關係。

— — 除非提交的資訊上有GitHub CEO弗裡德曼的GPG簽名,否則Git在提交資訊時,根本不會確認這是不是CEO本人的提交。(這次有問題的程式碼提交,就沒有CEO本人的簽名信息)

GPG(GNU Privacy Guard)是一個金鑰軟體,用於加密、簽名通訊的內容,也可作為管理非對稱密碼學的金鑰。

除非GPG簽名與郵箱地址相關聯,它並不會對提交物件的真偽進行確認。

也就是說,當你提出一個提交請求到Git本地倉庫時,你就會得到一個代表提交請求的雜湊值,可以通過它直接跳轉到你的分支。

GitHub類似於一個Web應用程式,負責提供瀏覽器到Git底層架構的請求互動,它會將所有的分支儲存到一個底層倉庫裡,哪怕它不以通常的形式出現在在URL架構中。

於是,一位陌生的使用者提交的檔案“光明正大地”進入了GitHub的DMCA儲存庫,還偽造成了CEO弗裡德曼的樣子。

為了做到這一點,這位陌生使用者先是複製了一份DMCA儲存庫、搞個分支出來,便於提交要洩露的GitHub原始碼

然後,陌生使用者偽造了弗裡德曼的使用者名稱和郵箱,將它提交了。於是,在DMCA儲存庫裡,名為弗裡德曼的使用者,自己提交了一份GitHub原始碼。

CEO迴應後,網友卻炸了

對此,GitHub CEO弗裡德曼做出了迴應,表示GitHub前段時間不小心混淆了一部分原始碼給客戶,但這不會影響GitHub的安全。

他甚至還吟了首勃朗寧的詩:一切都很好,情況也很正常,雲雀展翅飛翔,蝸牛在荊棘上爬動,世上一切順當!

但顯然,網友們並不在意這段原始碼是不是CEO本人洩露的,相反,這件事情再一次激起了他們針對“GitHub開源”這件事本身的怒火。

網友exabrial:您(指CEO)認為這是正常情況?你們是不是想通過偽造/無效的DMCA,刪掉其他的什麼專案?CEO弗裡德曼:這邊建議您閱讀DMCA工作原理呢。網友dannyw:如果GitHub真的提倡開源,它就不會是現在這樣。據我所知,微軟是RIAA的成員哦。

網友dannyw之所以提到RIAA(美國唱片業協會),是因為GitHub前段時間應RIAA的要求,直接刪除了GitHub上開源的油管影片下載器Youtube-dl。

一石激起千層浪,原本GitHub最初刪掉的相關專案就18個,現在一搜,竟然冒出了4000多個。

有開發者稱,這次的“偽造事件”估計與Youtube-dl專案被刪有關,也可能是偽造者對微軟並不開放GitHub原始碼的控訴。

關於GitHub開源,還得從微軟收購GitHub後的一系列舉動說起。

微軟和它的“開源”

自2018年微軟收購GitHub後,一直聲稱自己“致力於開源”。

Resynth表示:“我們已經從大量商業廣告裡看到了(微軟對開源的熱愛),微軟打的這些廣告,的確讓它處在開源開發的最前沿。”

但與微軟提倡的“開源”理念相對,它直接封禁了好幾次社群開源的程式碼。

鬧到最近,就是這次偽造事件導火索的“Youtube-dl被封禁事件”。

有開發者表示,想要讓GitHub開放自己的原始碼,如今在微軟這看來,是絕對不可能的。

Resynth也表示,由於有閉源軟體的存在、以及Git的擴張,讓GitHub看起來更像是一個試圖“包含開源專案”的平臺,而非開源本身

例如,今年6月,GitHub曾經出現過宕機兩小時的情況,這期間,成千上萬個開源專案無法被訪問和使用。

對於這次GitHub洩露原始碼的事件,你怎麼看?

已經走丟的GitHub原始碼網址:
https://web.archive.org/web/2/https://github.com/github/dmca/tree/565ece486c7c1652754d7b6d2b5ed9cb4097f9d5

參考連結:
https://arstechnica.com/information-technology/2020/11/githubs-source-code-was-leaked-on-github-last-night-sort-of/
https://www.zdnet.com/article/github-denies-getting-hacked/
https://resynth1943.net/articles/github-source-code-leak/
https://news.ycombinator.com/item?id=24994746
https://www.theverge.com/2020/6/29/21306674/github-down-errors-outage-june-2020

關注數據君的臉書:

我是「數據分析那些事」。常年分享數據分析乾貨,不定期分享好用的職場技能工具。按贊我的臉書私訊「10」,會有豐富資料包贈送唷!

這是一個專注於數據分析職場的內容部落格,聚焦一批數據分析愛好者,在這裡,我會分享數據分析相關知識點推送、(工具/書籍)等推薦、職場心得、熱點資訊剖析以及資源大盤點,希望同樣熱愛數據的我們一同進步! 臉書會有更多互動喔:https://www.facebook.com/shujvfenxi/

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store