写点什么

GitHub 源代码泄露,CEO 回应:这是个意外

  • 2020-11-06
  • 本文字数:2053 字

    阅读完需:约 7 分钟

GitHub 源代码泄露,CEO 回应:这是个意外

今天, TypeScript 开发者 Resynth 发文称,代码托管服务 GitHub 的全部源代码被泄露。他表示,在向官方 GitHub DMCA 提交的可疑文件中,一个身份不明的人利用 GitHub 应用程序中的一个漏洞冒充 GitHub CEO Nat Friedman 上传了机密源代码。


疑似泄露代码地址:


https://web.archive.org/web/20201104050026if_/https://github.com/github/dmca/tree/565ece486c7c1652754d7b6d2b5ed9cb4097f9d5



随后,Nat Friedman 迅速在 Hackernews 的帖子上做了回复。他表示 GitHub 没有被黑客入侵,一切都很正常。所谓泄露的代码是几个月前他们意外地将 GitHub Enterprise Server 源代码未脱敏/混淆的 tarball 交付给了一些客户。



随意封禁,GitHub 被指没有开源精神


有开发者指出,此次泄露事件与 GitHub 上周下架youtube-dl和后续一系列动作有关,开发者用这种方式来进行抗争。


上周五,在应美国唱片业协会(RIAA)的要求下, GitHub 下架了平台上最受欢迎的项目之一: 下载器项目 YouTube-dl 。但 RIAA 的禁令起到了相反的效果,很多开发人员开始对此表示抗议,并发布了更多代码副本。事件发生以前,在 GitHub 上搜索 Youtube-dl 相关的项目只有 20 多个,而现在至少能搜出 4100 多个。


其实对于 GitHub 来说,封禁项目不是什么新鲜事。


去年 5 月,GitHub 更新了用户协议,表明 GitHub 的产品和服务适用于美国出口管制法律。当年 7 月起,GitHub 基于美国出口管理条例,开始对伊朗、叙利亚和克里米亚的私人 repo 和付费账户实施限制。


从克里米亚地区的俄罗斯籍开发者到全部伊朗境内开发者再到定居芬兰的伊朗籍开发者,统统遭遇了账号被封无法创建私有库、已经创建的私有库被关闭等问题。而这些开发者并未得到 GitHub 提前通知,没有任何缓冲备份的时间。


今年 3 月份,GitHub 封禁了一个属于微软的前端开源项目 Aurelia,理由是项目中有两名来自伊朗的外部贡献者。Aurelia 是微软开发的 JavaScript 框架,已开源了 5 年。


这再次引发了开发者们的质疑:GitHub 封禁项目是否太随意?这难道不是与开源精神背道而驰?


事件不断发酵,GitHub CEO 不得不对此事进行道歉:关闭此帐户显然是一个可怕的错误。我们正在调查具体过程,并更改规则以确保此类问题不会再次发生。当然这一声明并没有阻止封禁事件的再次发生。


此事也引发了后续的一个讨论:GitHub 上的技术是各国志愿者撰写并无偿分享,并非美国购买有著作权的所有物,美国无权拿不属于自己的东西制裁别人甚至“拿伊朗的技术制裁伊朗”。GitHub 最后在争议下觉得有所理亏而改变作法,被封禁的用户可以下载回自己的作品,但依然不能在社区里查看代码。


但无数开发者已经深刻的意识到,被微软收购后的 GitHub 说到底还是一家美国企业。开源虽然无国界,但 GitHub 却是有国界的。有趣的是,GitHub 今年初发布的《八度宇宙状态》报告显示,截止 2019 年,GitHub 上共有 4000 万名开发者,而 80%的代码贡献者来自美国以外的地区。


GitHub 为什么不开源自己的代码?


“GitHub 本身不是开源的,这使我永远不满意。”有开发者表示。


这次 GitHub 源代码疑似泄露事件,刺激了开发者对 GitHub 的讨论:既然源代码如此容易就可以获得,为什么 GitHub 不开源?


大家将 GitHub 不开源的原因归结到其本质上是一家商业公司。GitHub 的主要目标客户是企业,他们关心合法性。获取非法源代码很容易,他们的客户不会冒这个险。同时,如果 GitHub 只是转储了代码库但对错误报告响应很慢,那将很不利于他们的公关形象。开源不仅需要源代码,还需要更多。


被封禁账户的俄罗斯研发人员 Nikolay 表示:“GitHub 虽然是一个开源社区,但更是一个商业公司。对外形象和求稳才是他们真正在意的吧。只要有人施压,他们可以轻易处置任何人。”


也有支持者认为,GitHub 的价值在于分享思想,而不是任何明智的代码。一直以来,GitHub 都是托管开源项目的最佳选择,但自从被微软收购后,它一直无法摆脱商业公司的标签。


猎豹移动董事长兼 CEO 傅盛曾在一次演讲中说:你把一个 App 放在网络上,可以让几十亿人下载,让全世界的人知道你。时过境迁,谷歌、苹果、Facebook 这样超大平台的出现,使得事情又走向了另一个极端。当涉及到各种商业利益和社会因素的时候,它们同样可以在一天内让几十亿的用户完全接触不到你,让你建立的基业瞬间湮灭——这就是垄断平台的力量。


这句话放在 GitHub 身上,同样适用。


GitHub 不代表开源


从 2008 年正式上线至今,GitHub 已经成为全球最大的社交编程及代码托管网站,但最受欢迎并不代表全部。GitHub 自身也会面临很多外部问题。


2013 年 1 月,GitHub 突然疑似遭遇DDOS攻击,访问大幅放缓。经过网站管理员查询日志发现,是来自 12306 的抢票插件用户洪水般的访问导致 GitHub 出现问题。2019 年 5 月,《个人电脑杂志》网站报道,GitHub 遭到一名黑客入侵。据称,这名黑客先擦除代码资源库,然后作为恢复数据的交换向用户所要赎金。


最近,Github 被发现存在一个高危漏洞,基本上所有拥有复杂 Github Actions 的项目都容易被攻击。这让 Github 的安全性也遭到质疑。


GitHub 能够跟开源划等号吗?肯定不能。


延伸阅读:


https://resynth1943.net/articles/github-source-code-leak/

2020-11-06 07:003618

评论 1 条评论

发布
用户头像
从来就没有绝对的安全。
2020-11-16 11:01
回复
没有更多了
发现更多内容

MobPush Android常见问题

MobTech袤博科技

Android;

Hudl × 微帧,为美国运动分析平台提供极致视频编码服务

微帧Visionular

AQS的今生,构建出JUC的基础

不在线第一只蜗牛

AQS JUC 可视化数据分析搭建

服务端应用多级缓存架构方案 | 京东云技术团队

京东科技开发者

架构设计 缓存架构 QPS 企业号 7 月 PK 榜 服务端架构

移动端APP组件化架构实践 | 京东云技术团队

京东科技开发者

APP开发 组件化开发 企业号 7 月 PK 榜 移动端组件化 组件化架构

火山引擎 DataLeap 构建Data Catalog系统的实践(二):技术与产品概览

字节跳动数据平台

高绩效团队的 5 个优秀习惯,看看你占了几个?

LigaAI

研发管理 技术团队 绩效管理 研发协作 企业号 7 月 PK 榜

“One Size Fits All”:一个过时的想法?| StoneDB 学术分享会 #8

StoneDB

MySQL 数据库 StoneDB

软件测试/测试开发丨Python、pycharm 安装与环境配置

测试人

Python 程序员 软件测试 pycharm

Web3D智慧养老院数字孪生可视化云平台

2D3D前端可视化开发

智慧养老 智慧养老院 智慧养老管理系统 数字孪生养老院 养老院三维可视化

一次元数据空间内存溢出的排查记录 | 京东云技术团队

京东科技开发者

elasticsearch springdata 元数据 内存溢出 企业号 7 月 PK 榜

向量数据库的崛起:从矢量搜索到深度学习 (一)

极限实验室

自然语言处理 深度学习 Embedding 向量数据库 矢量搜索

本周精彩直播预告!CXL 技术及应用研究&一站式构建平台 ABS,今天开讲 | 第 85-86 期

OpenAnolis小助手

开源 基础设施 内核 龙蜥大讲堂 abs

实时数仓浪潮来袭,这些宝藏开源CDC工具助您破壁 | StoneDB数据库观察 第9期

StoneDB

MySQL 数据库 数据分析 StoneDB

WAIC |思岚科技LPX-T1入选浦东新区人工智能10大创新技术品发布

新消费日报

对线面试官-Redis(八 基于哨兵HA的原理)

派大星

Java 面试题

【HDC.Cloud 2023】小白与AI在华为云Codelabs的第一次邂逅

软件开发 华为云 华为开发者大会 代码示例

制作tomcat镜像

tiandizhiguai

Docker 云原生 k8s

浅谈如何更好的进行需求评审 | 京东物流技术团队

京东科技开发者

产品经理 测试 研发 需求评审 企业号 7 月 PK 榜

GitHub 源代码泄露,CEO 回应:这是个意外_开源_褚杏娟_InfoQ精选文章