<i id='ezwr5e7a'><tr id='stdo0ppq'><dt id='m73rhnpd'><q id='f9ey7ib9'><span id='er4g3wyv'><b id='sg35rxpm'><form id='806eckl0'><ins id='pij5t1qf'></ins><ul id='klw48thr'></ul><sub id='2ygs3biy'></sub></form><legend id='68t05p6m'></legend><bdo id='6xzxd9av'><pre id='a2q66qf1'><center id='uj3yyzs6'></center></pre></bdo></b><th id='ncbzu0we'></th></span></q></dt></tr></i><div id='8va55ppg'><tfoot id='p3wuihj5'></tfoot><dl id='vlvqgn77'><fieldset id='y2bogwl6'></fieldset></dl></div>

        <small id='teuwmq20'></small><noframes id='nvdl8emb'>

        <legend id='a74fz2af'><style id='wcqfqcsb'><dir id='5iwjxpnd'><q id='6ee7ikhk'></q></dir></style></legend>
          <bdo id='si9u0cfo'></bdo><ul id='0cn4ovcd'></ul>

        <tfoot id='hwcoj4mf'></tfoot>
        1. 首页 > 分享 > 其他源码 >

        GitHub竟被黑!机密源代码全部泄露

          从开发者Resynth 发表的一篇博客中了解到,在一个向 GitHub 官方 DMCA 仓库提交的可疑 Comt 中,一名不明身份人员利用 GitHub 应用程序中的bug 假冒GitHub CEO 奈特·弗里德曼 (Nat Friedman)上传了机密源代码。

          GitHub想必大家都非常熟悉,它是一个大型代码存储库,主要为企业和开发人员提供托管项目和服务代码。苹果、亚马逊、Google、Facebook以及其他许多大型科技公司都是其主要客户。

          目前,GitHub已托管超过1亿个存储库,为4000万开发人员提供资源支持。

          因此,此泄露事件一出便迅速冲上了Hacker News热搜,不少开发者表示为GitHub平台的安全性感到担忧。

          对此,GitHub CEO Friedman本人则第一时间在热帖下做出了解释。他表示:

          GitHub没有被黑客入侵,被泄露的是部分GitHub Enterprise Server源代码。二者虽然共享大量代码,但GitHub主要是由Rube编写,还是有很大差异的。

          另外,这一事件的起因是几个月前,开发人员无意间将企业服务器源代码的未脱敏/混淆的 tarball 交付给了一些客户造成的。我们正在全力修复平台Bug,防止未经授权的不明人士通过伪造身份随意盗用、修改他人项目。

          最后,Friedman为了安抚用户甚至还吟了首勃朗宁的诗:一切都很好,情况也很正常,云雀展翅飞翔,蜗牛在荆棘上爬动,世上一切顺当!

          不过,开发者们对此回应并不买账。从他们的吐槽来看,Github代码管理系统早已存在多项Bug,比如提交代码时,Git不会对用户身份进行核验。这一点会给源代码带来极大的安全风险,但GitHub平台对此从未重视过。

          另外,有人表示正是利用这一缺陷,不明人士才得以冒充Friedman身份发布了机密代码。

          Git,是Github用来托管源代码的分布式版本管理系统,简单来说,就是源代码管理器。

          具体来说,Git 上传代码文件的过程,类似于发送电子邮件。用户可以在user.email字段中输入任何信息。这一过程中,如果两个字段之间不采用GPG密钥关联,系统就不会核查它的指定来源,那么信息造假会变得非常容易。

          那么,在绕过这层限制后,不明人士又是如何提交至存储库,同时又不损害实际存在账户的?

          据了解,将提交内容上传到Git存储库会得到一个散列,可用于查找树。GitHub是Web应用程序的一部分,提供了对浏览器中底层Git结构的访问权限,因此,它可以将Git存储库的所有分支存储在一个单独的底层存储库中,尽管通常不会在URL结构中显示这种方式。

          为了假冒别人的账户,不明人士首先需要克隆一个DMCA储存库。在扩展到存储库之后,再提交泄漏源代码,并伪造成Friedman的姓名和电子邮件地址。这个过程Fork存储库可能会出现错误,换句话说,URL可能依然指向假冒者真正的用户名和账户。

          但在底层Git上,父级和Fork都是同一个存储库的一部分,这将允许假冒者创建一个URL,该URL可以在主存储库中提交,而不是在Fork中。

          因此,假冒者从开始,将tree/$hash追加到末尾,其中$hash是攻击者自己的fork提交的散列值。

          结果假冒者得以代替Friedman使用了一个URL在GitHub上提交了自己的机密代码。

          值得一提的是,除了代码安全性的担忧之外,这件事也再度引起了开发者们对GitHub开源态度的关注。

          长久以来,GitHub 一直因为未公开源代码而饱受诟病,而恰好前几日,GitHub再度因封杀视频神器YouTube-dl而陷入舆论风波。

          据了解,此次泄露事件的发生,很可能是这位不知名开发者对封杀YouTube-dl一事的报复。

          上个月,在美国唱片业协会(RIAA)的要求下, GitHub 封禁了7.5万Star的热门开源项目 YouTube-dl。

          当时RIAA其给出的理由是,YouTube-dl其违反了DMCA的反规避条款:

          此源代码的明确目的是:1)规避 YouTube 等授权流媒体服务所使用的技术保护措施;2)未经授权复制和分发会员公司拥有的音乐视频和音频。3)除YouTube外,该源代码在 GitHub上支持更多网站下载视频。

          但GitHub将YouTube-dl下架,却激怒了开发者们,他们在GitHub上复制并上传了大量代码副本,以此对该下架行为表示抗议。目前在GitHub上搜索YouTube-dl,相关结果高达4108个。

          后来,GitHub公司法律团队不得不发出最新警告,称如果继续发布代码副本,可能会对其进行封号处理。

          请注意,在未遵循流程的情况下重新发布YouTube-dl代码副本是违反GitHub平台DMCA政策和服务条款的。如果您在明知违反服务条款的情况下,继续向该存储库提交或发布相关内容,我们会将其删除,并可能中止对您帐户的访问权限。

          虽然造成此次泄露事件的不知名人士并未对此事公开表态,但有人猜测称可能是他对GitHub下架该项目的报复。

          另外,在Friedman回应泄露事件的帖子下可以看到,不少网友对GitHub因DMCA协议而下架YouTube-dl表示不满。

          还有一位用户表示,GitHub之所以这样做,很可能是因为微软是RIAA的成员。他说,DMCA 所要求的下架不是让代码版权所有者本身下架,GitHub作为一家倡导开源的独立公司,它不需要遵守RIAA的非法请求。

          可以看出,网友们的不满显示是因为封禁一事与GitHub最初的开源初衷背道而驰。

          Resynth在博客中也表示:微软一再强调致力于开源,这一点我们从很多商业广告中经常可以看到,它的目的是让微软出于开源发展的最前沿。

          但现在来看,微软似乎并没有做到承诺的那样,而且YouTube-dl也只是最近发生的一例而已。事实上,GitHub因将其源代码保密的问题已经在业内广受批评。

          另外,Resynth也提醒称,这次事件也不得不让人们担心 GitHub 源代码的安全性。因为闭源应用程序执行的是“隐蔽式安全 (Security By Obscurity)”,即源代码是隐藏的,目的是降低安全风险。

          是一个开源的纳米四旋翼来几张靓照开发平台是开源的,所以原理图和固件/主机的源代码可在Bitcraze网站,以及一个Wiki的设计资料...

          springboot 物联网源码 iot 数据采集物联网平台 源码 源代码 Java程序 精选资料分享

          springboot 物联网源码 iot 数据采集物联网平台 源码 源代码 Java程序系统设计2.1 设计目标显示机组的运行数据,如机组的瞬时发...

          自从编程语言诞生以来,人们常常就哪种语言速度最快的问题争论不休。无论是严肃的科学研究,还是深夜酒吧的....

          来源 小麦大叔 循环缓冲区是嵌入式软件工程师在日常开发过程中的关键组件。 多年来,互联网上出现了....

          导读原创文章,转载请注明出处。本文源码地址:netty-source-code-analysis两篇开胃小菜过后,我已经有一些粉丝了,还有一些粉丝...

          /* 包含头文件 ----------------------------------------------------------------*/#include StepMotor/bsp_STEPMOT...

          开源软件的发行版和分支是不一样的。了解其中的区别和潜在的风险。 如果你们对开源软件有过一段时间的了解....

          永磁同步电机的仿线.永磁同步电机的矢量控制策略(八)在前面的博客已经讲到电机本体的Simulink模型搭建,其中可以自定义电机的库模型,或者直接通...

          日期:20200211作者:LJL参考文档:DMC MATH(文档地址:C:\ti\controlSUITE\libs\app_libs\motor_control\math_...

          基于扩展卡尔曼滤波SOC估算Simulixnk仿真,内容完整,模型可仿真,代码可实现

          NVIDIA ConnectX 网卡助力社交网络关键任务的分布式应用实现精确计时功能。 Facebo....

          Ⅰ、概述打开上一篇文章新建的工程,是提取的ST标准库里面源代码文件和UCOS工程包源代码文件。下载过的朋友可能会知道,直...

          参考资料PX4 Github主页:PX4 Github(代码有分支,请查看v1.10.0分支) PX4开发...

          超声波测距模块源代码/************************************* 参考书目:stm32库 刘火良...

          发布人:技术推广工程师 Khanh LeViet,代表 TensorFlow Lite 团队 在今年....

          I2C英文名为inter-Integrated Circuit,是用于多设备通讯的两线式串行总线,分....

          C语言的编译链接过程要把我们编写的一个C程序源代码,转换成可以在硬件上运行的程序(可执行代码),需要....

          基于特征码匹配的静态分析方法提取的特征滞后于病毒发展,且不能检测出未知病毒。为此,从病毒反编译文件及....

          在软件编程中,通过代码补全提示可以提高编码效率,但目前缺乏有效的工具和手段从规模差异较大的相似代码中....

          为使RISC处理器平台具备检测代码重用攻击的能力,将控制流完整性机制与可信计算中的动态远程证明协议相....

          <tbody id='qymewq0f'></tbody>

          <tfoot id='orx03diz'></tfoot>

          1. <legend id='ww85ap5n'><style id='2sdg9koi'><dir id='yd4o1977'><q id='l971b2nm'></q></dir></style></legend>
              <bdo id='hvi3dzzn'></bdo><ul id='o9snksjs'></ul>
            • <i id='i6c4a7ob'><tr id='ikhtnayj'><dt id='rpm8u3nt'><q id='9na44spz'><span id='84rxpx5m'><b id='z4ve3lvf'><form id='dbnmhy0l'><ins id='cgizy7cu'></ins><ul id='1r7l4nkg'></ul><sub id='pe8yej15'></sub></form><legend id='z87ywtvk'></legend><bdo id='xrj373u6'><pre id='zk61yg70'><center id='phy6t36d'></center></pre></bdo></b><th id='4xr7dpqb'></th></span></q></dt></tr></i><div id='uagdc83o'><tfoot id='q6x8rgf4'></tfoot><dl id='bye46n1m'><fieldset id='2ebwafzy'></fieldset></dl></div>

              <small id='o8cenda3'></small><noframes id='mnfosz3k'>

                • 本文由自媒体运营网发布,转载联系作者并注明出处:http://www.gmhhu.com/a/qitayuanma/227.html

                  联系我们

                  在线咨询:点击这里给我发消息

                  联系邮箱:12345678@qq.com

                  工作日:9:30-18:30,节假日休息

                • <legend id='lwpt4k0z'><style id='yqqv7dap'><dir id='uep79txv'><q id='kjhswa27'></q></dir></style></legend>

                • <tfoot id='7dnrmxf2'></tfoot>

                  <small id='snkod1l8'></small><noframes id='7dns5zi5'>

                    <bdo id='ww08w5xf'></bdo><ul id='5zbpm6lo'></ul>

                  1. <i id='vzbrvdvc'><tr id='j1tvnwjc'><dt id='6wih1zni'><q id='tkrolo39'><span id='u5jtqyca'><b id='3gorqxh5'><form id='qkx2j0sh'><ins id='uti6jrkf'></ins><ul id='xxtzoc0q'></ul><sub id='e4oglqxz'></sub></form><legend id='1qm8khdi'></legend><bdo id='16g856fm'><pre id='z6e9661l'><center id='oedsed2n'></center></pre></bdo></b><th id='825pkktz'></th></span></q></dt></tr></i><div id='yfffwupn'><tfoot id='4kty91n3'></tfoot><dl id='av9gue9b'><fieldset id='ovpkqa29'></fieldset></dl></div>