重磅！GitHub 全部源代碼被泄露？

點(diǎn)擊上方藍(lán)色“程序猿DD”，選擇“設(shè)為星標(biāo)”

回復(fù)“資源”獲取獨(dú)家整理的學(xué)習(xí)資料！

前言

由于內(nèi)部分析基礎(chǔ)設(shè)施的容量已達(dá)到極限，總部設(shè)于俄亥俄州克利夫蘭市的美國(guó)KeyBank銀行于今年開(kāi)始轉(zhuǎn)向云分析計(jì)算，同時(shí)隨著云存儲(chǔ)技術(shù)的發(fā)展，越來(lái)越多的銀行開(kāi)始考慮將客戶(hù)數(shù)據(jù)遷移至云端存儲(chǔ)。專(zhuān)家預(yù)計(jì)這將減少銀行75%空間和成本！

但云存儲(chǔ)真的安全嗎？

我突然想起最近各個(gè)技術(shù)網(wǎng)站上熱議的一件事情：“GitHub全部源代碼泄露！”

這里所說(shuō)的源代碼，并非我們廣大用戶(hù)存儲(chǔ)在GitHub上的開(kāi)源代碼，而是指GitHub，其本身自己的代碼?。?！

甚至有調(diào)皮的網(wǎng)頁(yè)第一時(shí)間發(fā)文表示?“GitHub把自己開(kāi)源了！”

這件事情是怎么被發(fā)現(xiàn)的呢？我們要感謝TypeScript的開(kāi)發(fā)者Resynth大神，敢于揭露事情的真相。

他在自己的博文中宣布了此事，按照他的說(shuō)法，他發(fā)現(xiàn)一些非?？梢傻奶峤?，這些提交的備注是：“felt cute, might put gh source code on dmca repo now idk”。

似乎是一個(gè)身份不明的人冒充GitHub CEO 納特·弗里德曼（Nat Friedman）利用 GitHub 應(yīng)用程序中的漏洞bug，上傳了機(jī)密源代碼。

這些代碼包括 linting 配置、CI 工作流、Dockerfiles 和其他與構(gòu)建相關(guān)的配置文件，以及"This is GitHub.com and GitHub Enterprise."的文案。

事件暴露之后引起廣大開(kāi)發(fā)者的熱議，因?yàn)橛幸徊糠珠_(kāi)發(fā)者早在很久以前就反饋過(guò)類(lèi)似的程序隱患，但一直沒(méi)有引起官方重視及回復(fù)。按網(wǎng)友的說(shuō)法，微軟似乎從來(lái)不承認(rèn)這些問(wèn)題的存在。

我們先來(lái)簡(jiǎn)單了解下這個(gè)安全漏洞是怎么一回事。

GitHub 的源代碼管理器 Git，提交方式比較像電子郵件，允許用戶(hù)隨意填寫(xiě)用戶(hù)名及郵箱地址。所以，任何人大可以用GitHub CEO 納特·弗里德曼（Nat Friedman）的名字進(jìn)行提交，官方完全不會(huì)確認(rèn)是否真的是其本人，除非當(dāng)提交信息中包含其密鑰簽名。這次出問(wèn)題的這些提交，恰巧就是沒(méi)有密鑰簽名的。

而真正讓網(wǎng)友炸鍋的，是隨后，真·GitHub CEO 納特·弗里德曼（Nat Friedman）?做的回應(yīng)。

他表示“GitHub 并沒(méi)有被黑客入侵，一切依舊正常。所謂泄露的代碼是幾個(gè)月前他們不小地將 GitHub Enterprise Server 上一些沒(méi)有脫密的源代碼交付給了一些客戶(hù)，但一切處于可控范圍，不會(huì)影響大家的安全?！?/p>

看到這里，真的瞬間想起國(guó)內(nèi)一些當(dāng)紅流量小生在粉絲鬧事情況下糟糕的危機(jī)公關(guān)，真的很想問(wèn)一句GitHub“你們沒(méi)有專(zhuān)門(mén)的公關(guān)團(tuán)隊(duì)嗎？這樣就覺(jué)得可以糊弄過(guò)去？”

因?yàn)橹耙恍┯脩?hù)已經(jīng)反饋過(guò)GitHub的代碼管理系統(tǒng)早已存在的多項(xiàng)Bug，官方的一直不作為，再加上敷衍了事的態(tài)度，似乎更激起了大家針對(duì)GitHub本身的不滿(mǎn)情緒。

例如：

網(wǎng)友 exabrial：您認(rèn)為這是正常情況？那你們是不是還想通過(guò)偽造無(wú)效的 DCMA，刪掉其他的什么項(xiàng)目？

CEO 弗里德曼：這邊建議您閱讀 DCMA 工作原理呢。（不由自主腦補(bǔ)了他說(shuō)這一段話(huà)時(shí)的傲慢臉）

網(wǎng)友 dannyw：如果 GitHub 真的提倡開(kāi)源，它就不會(huì)是現(xiàn)在這樣。微軟可是 RIAA 的成員?。℅itHub 前段時(shí)間應(yīng) RIAA 的要求，直接刪除了 GitHub 上開(kāi)源的油管視頻下載器 Youtube-dl，引起了廣大開(kāi)發(fā)者不滿(mǎn)，也有人認(rèn)為就是有人為了Youtube-dl事件報(bào)復(fù)微軟才泄露的本次代碼）

正所謂不作不死，這一下子還有人發(fā)現(xiàn)：GitHub 最初刪掉的相關(guān)項(xiàng)目只有 18 個(gè)，而現(xiàn)在竟然變成了 4000 多個(gè)！?天知道都是些什么內(nèi)容，藏著什么黑幕！

自從2018年微軟收購(gòu)了GitHub 之后，GitHub 的開(kāi)源就開(kāi)始逐漸變了味道，雖然微軟官方的口徑一直是鼓勵(lì)開(kāi)源，但是實(shí)際上已經(jīng)不止一次封印了一些社區(qū)的開(kāi)源代碼，具體原因，我們只能呵呵了。

此時(shí)此刻想起了Ensemble Studios，可能很多人不知道它是什么，但說(shuō)起帝國(guó)時(shí)代，應(yīng)該80后都知道。Ensemble Studios就是帝國(guó)時(shí)代的制作工作室，成立于1995年，于2001年被微軟收入麾下，然后又在2008年9月被微軟關(guān)閉。用他們的員工的話(huà)說(shuō)就是“微軟是一家上市公司，他們只對(duì)他們的股東負(fù)責(zé)。”希望同樣的事情，不要出現(xiàn)在GitHub 身上。

你怎么看這件事呢？歡迎留言討論！

DD自研的滬牌代拍業(yè)務(wù)，點(diǎn)擊直達(dá)

【往期推薦】

這本空降京東當(dāng)當(dāng)新書(shū)榜TOP1的“算法小抄”是什么來(lái)頭？

2020-12-14

Redis 的 8 大數(shù)據(jù)類(lèi)型，寫(xiě)得非常好！

2020-12-14

Spring Boot 的2020最后一擊：2.4.1、2.3.7、2.2.12 發(fā)布

2020-12-13

排名前 16 的 Java 工具類(lèi)，哪個(gè)你沒(méi)用過(guò)？

2020-12-13

GitHub 推出 2020 宇宙新功能：Dark Mode！從此深夜搞開(kāi)源不再被亮瞎了！

2020-12-12

基于 Token 的多平臺(tái)身份認(rèn)證架構(gòu)設(shè)計(jì)

2020-12-12

掃一掃，關(guān)注我

一起學(xué)習(xí)，一起進(jìn)步

每周贈(zèng)書(shū)，福利不斷

﹀

﹀

﹀

深度內(nèi)容

推薦加入

歡迎加入知識(shí)星球，一起探討技術(shù)架構(gòu)，交流技術(shù)人生。

加入方式，長(zhǎng)按下方二維碼：

已在知識(shí)星球更新如下：

素質(zhì)二連，走一個(gè)