色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內(nèi)不再提示

GitHub竟被黑!機密源代碼全部泄露

如意 ? 來源:雷鋒網(wǎng) ? 作者:貝爽 ? 2020-11-10 09:43 ? 次閱讀

YouTube-dl事件剛剛過去不久,GitHub又登上了Hacker News榜首。

原因是其源代碼被全部泄露!

開發(fā)者Resynth 發(fā)表的一篇博客中了解到,在一個向 GitHub 官方 DMCA 倉庫提交的可疑 Commit 中,一名不明身份人員利用 GitHub 應用程序中的bug 假冒GitHub CEO 奈特·弗里德曼 (Nat Friedman)上傳了機密源代碼。

GitHub竟被黑!機密源代碼全部泄露

泄露文件已被全部刪除

GitHub想必大家都非常熟悉,它是一個大型代碼存儲庫,主要為企業(yè)和開發(fā)人員提供托管項目和服務代碼。蘋果、亞馬遜、Google、Facebook以及其他許多大型科技公司都是其主要客戶。

目前,GitHub已托管超過1億個存儲庫,為4000萬開發(fā)人員提供資源支持。

因此,此泄露事件一出便迅速沖上了Hacker News熱搜,不少開發(fā)者表示為GitHub平臺的安全性感到擔憂。

對此,GitHub CEO Friedman本人則第一時間在熱帖下做出了解釋。他表示:

GitHub沒有被黑客入侵,被泄露的是部分GitHub Enterprise Server源代碼。二者雖然共享大量代碼,但GitHub主要是由Rube編寫,還是有很大差異的。

另外,這一事件的起因是幾個月前,開發(fā)人員無意間將企業(yè)服務器源代碼的未脫敏/混淆的 tarball 交付給了一些客戶造成的。我們正在全力修復平臺Bug,防止未經(jīng)授權的不明人士通過偽造身份隨意盜用、修改他人項目。

最后,F(xiàn)riedman為了安撫用戶甚至還吟了首勃朗寧的詩:一切都很好,情況也很正常,云雀展翅飛翔,蝸牛在荊棘上爬動,世上一切順當!

不過,開發(fā)者們對此回應并不買賬。從他們的吐槽來看,Github代碼管理系統(tǒng)早已存在多項Bug,比如提交代碼時,Git不會對用戶身份進行核驗。這一點會給源代碼帶來極大的安全風險,但GitHub平臺對此從未重視過。

另外,有人表示正是利用這一缺陷,不明人士才得以冒充Friedman身份發(fā)布了機密代碼。

源代碼管理器Git存在Bug

Git,是Github用來托管源代碼的分布式版本管理系統(tǒng),簡單來說,就是源代碼管理器。

它的設計存在一種明顯的缺陷,即沒有為防止其他用戶盜用提供太多的保護。

具體來說,Git 上傳代碼文件的過程,類似于發(fā)送電子郵件。用戶可以在user.name和user.email字段中輸入任何信息。這一過程中,如果兩個字段之間不采用GPG密鑰關聯(lián),系統(tǒng)就不會核查它的指定來源,那么信息造假會變得非常容易。

上述不明人士順利提交成功,顯然是Friedman沒為相關字段建立GPG(General Planning Group)密鑰。

那么,在繞過這層限制后,不明人士又是如何提交至存儲庫,同時又不損害實際存在賬戶的?

據(jù)了解,將提交內(nèi)容上傳到Git存儲庫會得到一個散列,可用于查找樹。GitHub是Web應用程序的一部分,提供了對瀏覽器中底層Git結構的訪問權限,因此,它可以將Git存儲庫的所有分支存儲在一個單獨的底層存儲庫中,盡管通常不會在URL結構中顯示這種方式。

為了假冒別人的賬戶,不明人士首先需要克隆一個DMCA儲存庫。在擴展到存儲庫之后,再提交泄漏源代碼,并偽造成Friedman的姓名和電子郵件地址。這個過程Fork存儲庫可能會出現(xiàn)錯誤,換句話說,URL可能依然指向假冒者真正的用戶名和賬戶。

但在底層Git上,父級和Fork都是同一個存儲庫的一部分,這將允許假冒者創(chuàng)建一個URL,該URL可以在主存儲庫中提交,而不是在Fork中。

因此,假冒者從https://github.com/github/dmca開始,將tree/$hash追加到末尾,其中$hash是攻擊者自己的fork提交的散列值。

結果假冒者得以代替Friedman使用了一個URL在GitHub上提交了自己的機密代碼。

值得一提的是,除了代碼安全性的擔憂之外,這件事也再度引起了開發(fā)者們對GitHub開源態(tài)度的關注。

長久以來,GitHub 一直因為未公開源代碼而飽受詬病,而恰好前幾日,GitHub再度因封殺視頻神器YouTube-dl而陷入輿論風波。

據(jù)了解,此次泄露事件的發(fā)生,很可能是這位不知名開發(fā)者對封殺YouTube-dl一事的報復。

或許與下架YouTube-dl有關

上個月,在美國唱片業(yè)協(xié)會(RIAA)的要求下, GitHub 封禁了7.5萬Star的熱門開源項目 YouTube-dl。

當時RIAA其給出的理由是,YouTube-dl其違反了DMCA的反規(guī)避條款:

此源代碼的明確目的是:1)規(guī)避 YouTube 等授權流媒體服務所使用的技術保護措施;2)未經(jīng)授權復制和分發(fā)會員公司擁有的音樂視頻和音頻。3)除YouTube外,該源代碼在 GitHub上支持更多網(wǎng)站下載視頻。

但GitHub將YouTube-dl下架,卻激怒了開發(fā)者們,他們在GitHub上復制并上傳了大量代碼副本,以此對該下架行為表示抗議。目前在GitHub上搜索YouTube-dl,相關結果高達4108個。

后來,GitHub公司法律團隊不得不發(fā)出最新警告,稱如果繼續(xù)發(fā)布代碼副本,可能會對其進行封號處理。

請注意,在未遵循流程的情況下重新發(fā)布YouTube-dl代碼副本是違反GitHub平臺DMCA政策和服務條款的。如果您在明知違反服務條款的情況下,繼續(xù)向該存儲庫提交或發(fā)布相關內(nèi)容,我們會將其刪除,并可能中止對您帳戶的訪問權限。

雖然造成此次泄露事件的不知名人士并未對此事公開表態(tài),但有人猜測稱可能是他對GitHub下架該項目的報復。

另外,在Friedman回應泄露事件的帖子下可以看到,不少網(wǎng)友對GitHub因DMCA協(xié)議而下架YouTube-dl表示不滿。

還有一位用戶表示,GitHub之所以這樣做,很可能是因為微軟是RIAA的成員。他說,DMCA 所要求的下架不是讓代碼版權所有者本身下架,GitHub作為一家倡導開源的獨立公司,它不需要遵守RIAA的非法請求。

可以看出,網(wǎng)友們的不滿顯示是因為封禁一事與GitHub最初的開源初衷背道而馳。

GitHub開源精神惹爭議

2018年,微軟以75億美元的價格收購GitHub。新任 CEO Nat Friedman 曾表示:GitHub 將始終堅持開發(fā)者優(yōu)先并獨立運營。

Resynth在博客中也表示:微軟一再強調(diào)致力于開源,這一點我們從很多商業(yè)廣告中經(jīng)??梢钥吹剑哪康氖亲屛④洺鲇陂_源發(fā)展的最前沿。

但現(xiàn)在來看,微軟似乎并沒有做到承諾的那樣,而且YouTube-dl也只是最近發(fā)生的一例而已。事實上,GitHub因?qū)⑵湓创a保密的問題已經(jīng)在業(yè)內(nèi)廣受批評。

另外,Resynth也提醒稱,這次事件也不得不讓人們擔心 GitHub 源代碼的安全性。因為閉源應用程序執(zhí)行的是“隱蔽式安全 (Security By Obscurity)”,即源代碼是隱藏的,目的是降低安全風險。

如果 GitHub 真的公開源代碼,很可能會損害其整體的安全性。
責編AJX

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內(nèi)容侵權或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 源代碼
    +關注

    關注

    96

    文章

    2945

    瀏覽量

    66731
  • GitHub
    +關注

    關注

    3

    文章

    469

    瀏覽量

    16428
收藏 人收藏

    評論

    相關推薦

    Gmapping源代碼

    Gmapping源代碼.docx
    發(fā)表于 11-16 13:42 ?0次下載

    IP地址會被黑?

    IP地址會被黑?是的,你的IP地址如果不幸被惡意分子盯上,就會被惡意利用,這會引發(fā)一系列明顯的異常表現(xiàn)。就像網(wǎng)絡會突然變得異常緩慢,下載速度驟降,網(wǎng)頁無法加載,更甚至在打游戲時,頻繁出現(xiàn)連接中斷情況
    的頭像 發(fā)表于 09-12 14:24 ?328次閱讀

    上傳本地項目代碼github

    概述 GitHub是一個面向開源及私有軟件項目的托管平臺,因為只支持git 作為唯一的版本庫格式進行托管,故名GitHub。本文主要講解如何將本地代碼上傳至Github。 Git Ba
    發(fā)表于 09-11 16:33

    hex可以轉(zhuǎn)成源代碼

    Hex文件可以轉(zhuǎn)換成源代碼的近似形式,但無法直接還原為原始的、完全相同的源代碼 。這是因為Hex文件是二進制文件,包含了程序編譯后的機器碼,這些機器碼與原始的源代碼在結構和表達上存在顯著的差異。不過
    的頭像 發(fā)表于 09-02 10:41 ?977次閱讀

    GitHub推出GitHub Models服務,賦能開發(fā)者智能選擇AI模型

    8月2日,全球領先的代碼托管平臺GitHub宣布了一項重大創(chuàng)新——GitHub Models服務的正式推出。該服務被定位為AI時代的工程師助手,旨在幫助全球超過1億的GitHub用戶輕
    的頭像 發(fā)表于 08-02 15:39 ?576次閱讀

    esp freertos sdk使用默認的lwipopts.h編譯lwip源代碼時,輸出的liblwip.a與官方的格式不同,為什么?

    您好,我想編譯 esp freertos sdk 并使用官方源代碼(2015 年 1 月 1 日github@15獲?。?。當使用默認的 lwipopts.h 編譯 lwip 源代碼時,輸出
    發(fā)表于 07-15 06:57

    基于51單片機密碼鎖數(shù)碼管顯示設計

    本資源內(nèi)容概要:? ? ? ?這是基于51單片機密碼鎖數(shù)碼管顯示設計包含了電路圖源文件(Altiumdesigner軟件打開)、C語言程序源代碼(keil軟件打開)、元件清單(excel表格打開
    發(fā)表于 06-25 10:05 ?4次下載

    特斯拉起訴前供應商:干電極電池技術商業(yè)機密泄露風波

    近日,電動汽車巨頭特斯拉與其前供應商馬修斯國際公司(Matthews International)之間爆發(fā)了一場關于商業(yè)機密泄露的訴訟戰(zhàn)。特斯拉在美國加利福尼亞州北區(qū)地方法院正式起訴馬修斯公司,指控
    的頭像 發(fā)表于 06-20 10:36 ?1744次閱讀

    請問ESP32-S3-LCD-EV-Board開發(fā)板有源代碼嗎?

    請問各位大佬,ESP32-S3-LCD-EV-Board開發(fā)板有源代碼嗎?示例代碼,官網(wǎng)和github翻了一圈沒找著啊!
    發(fā)表于 06-05 07:31

    華企盾防泄密系統(tǒng)讓企業(yè)源代碼更安全

    泄露,其后果不堪設想。 從目前情況來看,源代碼防泄密的形勢并不樂觀,出現(xiàn)了如下情況: 1、人員漏洞,系統(tǒng)漏洞。 企業(yè)源代碼防泄密缺乏規(guī)范,管理混亂,導致漏洞百出,企業(yè)源代碼缺乏責任意識
    的頭像 發(fā)表于 05-23 11:30 ?474次閱讀

    【開源鴻蒙】下載OpenHarmony 4.1 Release源代碼

    本文介紹了如何下載開源鴻蒙(OpenHarmony)操作系統(tǒng) 4.1 Release版本的源代碼,該方法同樣可以用于下載OpenHarmony最新開發(fā)版本(master分支)或者4.0 Release、3.2 Release等發(fā)布版本的源代碼
    的頭像 發(fā)表于 04-27 23:16 ?908次閱讀
    【開源鴻蒙】下載OpenHarmony 4.1 Release<b class='flag-5'>源代碼</b>

    企業(yè)源代碼防泄密解決方案如何做才能做好?

    源代碼或圖紙復制一份,這是每一個研發(fā)人員心照不宣的事情。那么如何對企業(yè)核心文件進行防泄密保護呢? 在這里我們重點聊一下企業(yè)源代碼防泄密方案。如果企業(yè)的源代碼被發(fā)送泄露出來給企業(yè)帶來的
    的頭像 發(fā)表于 04-24 11:57 ?378次閱讀

    GitHub推出新功能:智能掃描代碼潛在漏洞

    代碼掃描”功能還能預防新手引入新的問題,并支持在設定的日期和時間進行掃描,或者讓特定事件(如推送到倉庫中)觸發(fā)掃描。若AI判定代碼內(nèi)可能存在隱患,GitHub將在倉庫中發(fā)出預警,待用戶修正引發(fā)求救信號的部分后,再撤銷警告。
    的頭像 發(fā)表于 03-21 14:55 ?698次閱讀

    GitHub啟用推送保護功能,強化代碼安全

    這項于去年 8 月上線的“推送保護”功能初現(xiàn)時,用戶需自行在設定中打開開關。然而,隨著近期日益頻繁的敏感數(shù)據(jù)泄露事件的發(fā)生,GitHub 決定將此設為默認選項。
    的頭像 發(fā)表于 03-04 11:40 ?577次閱讀

    智能制造行業(yè)--客戶現(xiàn)場調(diào)試源代碼如何防泄密

    我國近幾年傳統(tǒng)制造向智能制造的轉(zhuǎn)變,很多制造企業(yè)不僅有自己公司的圖紙文件需要保密,企業(yè)的有很多源代碼也需要保密,但是對于源代碼采用圖紙防泄密的方式是不可取的,源代碼防泄密比圖紙文件防泄密做起來更加
    的頭像 發(fā)表于 01-11 16:27 ?493次閱讀
    智能制造行業(yè)--客戶現(xiàn)場調(diào)試<b class='flag-5'>源代碼</b>如何防泄密
    主站蜘蛛池模板: 黑人性xxx| 国产女高清在线看免费观看| a国产成人免费视频| p影院永久免费| 国产成人精品免费视频大全可播放的| 国产精品高清视亚洲一区二区| 国产乱色伦影片在线观看| 黄A无码片内射无码视频| 狼群资源网中文字幕| 欧美另类与牲交ZOZOZO| 桃花在线观看播放| 亚洲欧美中文字幕网站大全| 在线观看亚洲 日韩 国产| chinesedaddy80老年人| 国产精品96久久久久久AV不卡| 韩国电影久久| 男助理憋尿PLAY灌尿BL出去| 甜性涩爱快播| 在线国产a不卡| 达达兔欧美午夜国产亚洲| 韩国污动漫无遮掩无删减电脑版| 美女被男人撕衣舔胸| 视频一区二区中文字幕| 伊人影院香蕉久在线26| 成人国产三级在线播放| 果冻传媒2021精品在线观看| 男女又黄又刺激B片免费网站| 思思99热久久精品在线6| 在线 | 果冻国产传媒61国产免费 在镜头里被CAO翻了H | 国产乱对白精彩在线播放| 久久精品国产亚洲AV影院| 日韩精品一区二区亚洲AV观看 | 重口味av| 国产精品久久久亚洲偷窥女厕| 久久噜国产精品拍拍拍拍| 色戒无删减流畅完整版| 伊在香蕉国产在线视频| 国产91综合| 美女扒开腿让男生桶免费看动态图| 午夜性爽视频男人的天堂在线 | 妈妈的朋友6未删减版完整在线 |