色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫(xiě)文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

YouTube源代碼管理器Git存在Bug

lhl545545 ? 來(lái)源:雷鋒網(wǎng) ? 作者:貝爽 ? 2020-11-10 09:41 ? 次閱讀

YouTube-dl事件剛剛過(guò)去不久,GitHub又登上了Hacker News榜首。

原因是其源代碼被全部泄露!

開(kāi)發(fā)者Resynth 發(fā)表的一篇博客中了解到,在一個(gè)向 GitHub 官方 DMCA 倉(cāng)庫(kù)提交的可疑 Commit 中,一名不明身份人員利用 GitHub 應(yīng)用程序中的bug 假冒GitHub CEO 奈特·弗里德曼 (Nat Friedman)上傳了機(jī)密源代碼。

泄露文件已被全部刪除

GitHub想必大家都非常熟悉,它是一個(gè)大型代碼存儲(chǔ)庫(kù),主要為企業(yè)和開(kāi)發(fā)人員提供托管項(xiàng)目和服務(wù)代碼。蘋(píng)果、亞馬遜、Google、Facebook以及其他許多大型科技公司都是其主要客戶。

目前,GitHub已托管超過(guò)1億個(gè)存儲(chǔ)庫(kù),為4000萬(wàn)開(kāi)發(fā)人員提供資源支持。

因此,此泄露事件一出便迅速?zèng)_上了Hacker News熱搜,不少開(kāi)發(fā)者表示為GitHub平臺(tái)的安全性感到擔(dān)憂。

對(duì)此,GitHub CEO Friedman本人則第一時(shí)間在熱帖下做出了解釋。他表示:

GitHub沒(méi)有被黑客入侵,被泄露的是部分GitHub Enterprise Server源代碼。二者雖然共享大量代碼,但GitHub主要是由Rube編寫(xiě),還是有很大差異的。

另外,這一事件的起因是幾個(gè)月前,開(kāi)發(fā)人員無(wú)意間將企業(yè)服務(wù)器源代碼的未脫敏/混淆的 tarball 交付給了一些客戶造成的。我們正在全力修復(fù)平臺(tái)Bug,防止未經(jīng)授權(quán)的不明人士通過(guò)偽造身份隨意盜用、修改他人項(xiàng)目。

YouTube源代碼管理器Git存在Bug

最后,F(xiàn)riedman為了安撫用戶甚至還吟了首勃朗寧的詩(shī):一切都很好,情況也很正常,云雀展翅飛翔,蝸牛在荊棘上爬動(dòng),世上一切順當(dāng)!

不過(guò),開(kāi)發(fā)者們對(duì)此回應(yīng)并不買(mǎi)賬。從他們的吐槽來(lái)看,Github代碼管理系統(tǒng)早已存在多項(xiàng)Bug,比如提交代碼時(shí),Git不會(huì)對(duì)用戶身份進(jìn)行核驗(yàn)。這一點(diǎn)會(huì)給源代碼帶來(lái)極大的安全風(fēng)險(xiǎn),但GitHub平臺(tái)對(duì)此從未重視過(guò)。

另外,有人表示正是利用這一缺陷,不明人士才得以冒充Friedman身份發(fā)布了機(jī)密代碼。

源代碼管理器Git存在Bug

Git,是Github用來(lái)托管源代碼的分布式版本管理系統(tǒng),簡(jiǎn)單來(lái)說(shuō),就是源代碼管理器。

它的設(shè)計(jì)存在一種明顯的缺陷,即沒(méi)有為防止其他用戶盜用提供太多的保護(hù)。

具體來(lái)說(shuō),Git 上傳代碼文件的過(guò)程,類(lèi)似于發(fā)送電子郵件。用戶可以在user.name和user.email字段中輸入任何信息。這一過(guò)程中,如果兩個(gè)字段之間不采用GPG密鑰關(guān)聯(lián),系統(tǒng)就不會(huì)核查它的指定來(lái)源,那么信息造假會(huì)變得非常容易。

上述不明人士順利提交成功,顯然是Friedman沒(méi)為相關(guān)字段建立GPG(General Planning Group)密鑰。

那么,在繞過(guò)這層限制后,不明人士又是如何提交至存儲(chǔ)庫(kù),同時(shí)又不損害實(shí)際存在賬戶的?

據(jù)了解,將提交內(nèi)容上傳到Git存儲(chǔ)庫(kù)會(huì)得到一個(gè)散列,可用于查找樹(shù)。GitHub是Web應(yīng)用程序的一部分,提供了對(duì)瀏覽器中底層Git結(jié)構(gòu)的訪問(wèn)權(quán)限,因此,它可以將Git存儲(chǔ)庫(kù)的所有分支存儲(chǔ)在一個(gè)單獨(dú)的底層存儲(chǔ)庫(kù)中,盡管通常不會(huì)在URL結(jié)構(gòu)中顯示這種方式。

為了假冒別人的賬戶,不明人士首先需要克隆一個(gè)DMCA儲(chǔ)存庫(kù)。在擴(kuò)展到存儲(chǔ)庫(kù)之后,再提交泄漏源代碼,并偽造成Friedman的姓名和電子郵件地址。這個(gè)過(guò)程Fork存儲(chǔ)庫(kù)可能會(huì)出現(xiàn)錯(cuò)誤,換句話說(shuō),URL可能依然指向假冒者真正的用戶名和賬戶。

但在底層Git上,父級(jí)和Fork都是同一個(gè)存儲(chǔ)庫(kù)的一部分,這將允許假冒者創(chuàng)建一個(gè)URL,該URL可以在主存儲(chǔ)庫(kù)中提交,而不是在Fork中。

因此,假冒者從https://github.com/github/dmca開(kāi)始,將tree/$hash追加到末尾,其中$hash是攻擊者自己的fork提交的散列值。

結(jié)果假冒者得以代替Friedman使用了一個(gè)URL在GitHub上提交了自己的機(jī)密代碼。

值得一提的是,除了代碼安全性的擔(dān)憂之外,這件事也再度引起了開(kāi)發(fā)者們對(duì)GitHub開(kāi)源態(tài)度的關(guān)注。

長(zhǎng)久以來(lái),GitHub 一直因?yàn)槲垂_(kāi)源代碼而飽受詬病,而恰好前幾日,GitHub再度因封殺視頻神器YouTube-dl而陷入輿論風(fēng)波。

據(jù)了解,此次泄露事件的發(fā)生,很可能是這位不知名開(kāi)發(fā)者對(duì)封殺YouTube-dl一事的報(bào)復(fù)。

或許與下架YouTube-dl有關(guān)

上個(gè)月,在美國(guó)唱片業(yè)協(xié)會(huì)(RIAA)的要求下, GitHub 封禁了7.5萬(wàn)Star的熱門(mén)開(kāi)源項(xiàng)目 YouTube-dl。

當(dāng)時(shí)RIAA其給出的理由是,YouTube-dl其違反了DMCA的反規(guī)避條款:

此源代碼的明確目的是:1)規(guī)避 YouTube 等授權(quán)流媒體服務(wù)所使用的技術(shù)保護(hù)措施;2)未經(jīng)授權(quán)復(fù)制和分發(fā)會(huì)員公司擁有的音樂(lè)視頻和音頻。3)除YouTube外,該源代碼在 GitHub上支持更多網(wǎng)站下載視頻。

但GitHub將YouTube-dl下架,卻激怒了開(kāi)發(fā)者們,他們?cè)贕itHub上復(fù)制并上傳了大量代碼副本,以此對(duì)該下架行為表示抗議。目前在GitHub上搜索YouTube-dl,相關(guān)結(jié)果高達(dá)4108個(gè)。

后來(lái),GitHub公司法律團(tuán)隊(duì)不得不發(fā)出最新警告,稱如果繼續(xù)發(fā)布代碼副本,可能會(huì)對(duì)其進(jìn)行封號(hào)處理。

請(qǐng)注意,在未遵循流程的情況下重新發(fā)布YouTube-dl代碼副本是違反GitHub平臺(tái)DMCA政策和服務(wù)條款的。如果您在明知違反服務(wù)條款的情況下,繼續(xù)向該存儲(chǔ)庫(kù)提交或發(fā)布相關(guān)內(nèi)容,我們會(huì)將其刪除,并可能中止對(duì)您帳戶的訪問(wèn)權(quán)限。

雖然造成此次泄露事件的不知名人士并未對(duì)此事公開(kāi)表態(tài),但有人猜測(cè)稱可能是他對(duì)GitHub下架該項(xiàng)目的報(bào)復(fù)。

另外,在Friedman回應(yīng)泄露事件的帖子下可以看到,不少網(wǎng)友對(duì)GitHub因DMCA協(xié)議而下架YouTube-dl表示不滿。

還有一位用戶表示,GitHub之所以這樣做,很可能是因?yàn)槲④浭荝IAA的成員。他說(shuō),DMCA 所要求的下架不是讓代碼版權(quán)所有者本身下架,GitHub作為一家倡導(dǎo)開(kāi)源的獨(dú)立公司,它不需要遵守RIAA的非法請(qǐng)求。

可以看出,網(wǎng)友們的不滿顯示是因?yàn)榉饨皇屡cGitHub最初的開(kāi)源初衷背道而馳。

GitHub開(kāi)源精神惹爭(zhēng)議

2018年,微軟以75億美元的價(jià)格收購(gòu)GitHub。新任 CEO Nat Friedman 曾表示:GitHub 將始終堅(jiān)持開(kāi)發(fā)者優(yōu)先并獨(dú)立運(yùn)營(yíng)。

Resynth在博客中也表示:微軟一再?gòu)?qiáng)調(diào)致力于開(kāi)源,這一點(diǎn)我們從很多商業(yè)廣告中經(jīng)常可以看到,它的目的是讓微軟出于開(kāi)源發(fā)展的最前沿。

但現(xiàn)在來(lái)看,微軟似乎并沒(méi)有做到承諾的那樣,而且YouTube-dl也只是最近發(fā)生的一例而已。事實(shí)上,GitHub因?qū)⑵湓创a保密的問(wèn)題已經(jīng)在業(yè)內(nèi)廣受批評(píng)。

另外,Resynth也提醒稱,這次事件也不得不讓人們擔(dān)心 GitHub 源代碼的安全性。因?yàn)殚]源應(yīng)用程序執(zhí)行的是“隱蔽式安全 (Security By Obscurity)”,即源代碼是隱藏的,目的是降低安全風(fēng)險(xiǎn)。

如果 GitHub 真的公開(kāi)源代碼,很可能會(huì)損害其整體的安全性。
責(zé)任編輯:pj

聲明:本文內(nèi)容及配圖由入駐作者撰寫(xiě)或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • 服務(wù)器
    +關(guān)注

    關(guān)注

    12

    文章

    9123

    瀏覽量

    85331
  • BUG
    BUG
    +關(guān)注

    關(guān)注

    0

    文章

    155

    瀏覽量

    15665
  • Youtube
    +關(guān)注

    關(guān)注

    0

    文章

    143

    瀏覽量

    15539
收藏 人收藏

    評(píng)論

    相關(guān)推薦

    Gmapping源代碼

    Gmapping源代碼.docx
    發(fā)表于 11-16 13:42 ?0次下載

    bq40z50EVM鋰離子電池包管理器評(píng)估模塊

    電子發(fā)燒友網(wǎng)站提供《bq40z50EVM鋰離子電池包管理器評(píng)估模塊.pdf》資料免費(fèi)下載
    發(fā)表于 11-07 09:42 ?0次下載
    bq40z50EVM鋰離子電池包<b class='flag-5'>管理器</b>評(píng)估模塊

    TLV320AIC31的HPLOUT輸出到音頻管理器,音頻管理器輸出接到耳機(jī),聲音幾乎聽(tīng)不到怎么處理?

    TLV320AIC31的HPLOUT后面接到音頻管理器的輸入,對(duì)我這邊要求是,匹配阻抗600歐姆時(shí),輸出電壓最大有效值800mv,請(qǐng)問(wèn)TLV320AIC31的HPLOUT滿足這樣的輸出要求嗎,還是說(shuō)必須
    發(fā)表于 10-12 07:02

    負(fù)載管理器的主要功能

    負(fù)載管理器(Load Manager)是計(jì)算機(jī)系統(tǒng)中的一個(gè)關(guān)鍵組件,它負(fù)責(zé)分配和管理計(jì)算資源,以確保系統(tǒng)運(yùn)行的效率和穩(wěn)定性。負(fù)載管理器的主要功能包括任務(wù)調(diào)度、資源分配、性能監(jiān)控、故障恢復(fù)等。以下
    的頭像 發(fā)表于 10-10 11:26 ?351次閱讀

    hex可以轉(zhuǎn)成源代碼

    Hex文件可以轉(zhuǎn)換成源代碼的近似形式,但無(wú)法直接還原為原始的、完全相同的源代碼 。這是因?yàn)镠ex文件是二進(jìn)制文件,包含了程序編譯后的機(jī)器碼,這些機(jī)器碼與原始的源代碼在結(jié)構(gòu)和表達(dá)上存在
    的頭像 發(fā)表于 09-02 10:41 ?977次閱讀

    stm32H7 HAL庫(kù)中存在bug

    stm32H7 hal 庫(kù)里面的以太網(wǎng)代碼,坑了魚(yú)鷹很多次(不知道最新版是否已經(jīng)修復(fù)了這些bug),這里分享一篇網(wǎng)上的文章,因?yàn)轸~(yú)鷹也遇到過(guò),靠它解決了其中一個(gè)編譯優(yōu)化問(wèn)題,在此感謝作者。不過(guò)hal
    的頭像 發(fā)表于 08-12 17:37 ?1104次閱讀

    企業(yè)如何保護(hù)源代碼安全?做好源代碼防泄密工作

    出現(xiàn)了相似或相同功能的產(chǎn)品。這無(wú)疑引發(fā)了企業(yè)管理者們對(duì)于企業(yè)源代碼數(shù)據(jù)泄漏的深深憂慮。 許多企業(yè)錯(cuò)誤地認(rèn)為,只要采用了版本管理工具如Git或SVN,
    的頭像 發(fā)表于 05-22 16:01 ?452次閱讀

    四路集成電源設(shè)備電源管理器TPS2384數(shù)據(jù)表

    電子發(fā)燒友網(wǎng)站提供《四路集成電源設(shè)備電源管理器TPS2384數(shù)據(jù)表.pdf》資料免費(fèi)下載
    發(fā)表于 04-07 09:26 ?0次下載
    四路集成電源設(shè)備電源<b class='flag-5'>管理器</b>TPS2384數(shù)據(jù)表

    超級(jí)電容管理器bq33100數(shù)據(jù)表

    電子發(fā)燒友網(wǎng)站提供《超級(jí)電容管理器bq33100數(shù)據(jù)表.pdf》資料免費(fèi)下載
    發(fā)表于 04-01 10:13 ?2次下載
    超級(jí)電容<b class='flag-5'>管理器</b>bq33100數(shù)據(jù)表

    Windows 11 22H2新版任務(wù)管理器新增啟用隱藏功能

    關(guān)于如何隱藏調(diào)用舊版任務(wù)管理器,網(wǎng)友 @thebookisclosed 分享了詳細(xì)步驟。他指出,在現(xiàn)有 Windows 11 環(huán)境中,即使按 Ctrl+Shift+Esc 組合鍵也難以調(diào)出老版本的任務(wù)管理器,需通過(guò)特定路徑“C:\Windows\SysWOW64\Task
    的頭像 發(fā)表于 03-27 15:08 ?485次閱讀

    安卓版Chrome瀏覽現(xiàn)已支持第三方密碼管理器調(diào)用

    據(jù)報(bào)道,數(shù)據(jù)解析專家Leppeva64近日在安卓版谷歌Chrome瀏覽源代碼中透露,該瀏覽已在安卓平臺(tái)上實(shí)現(xiàn)了對(duì)第三方密碼管理器的調(diào)用支持,并覆蓋Stable、Beta及Cana
    的頭像 發(fā)表于 03-19 11:04 ?697次閱讀

    藍(lán)牙 | 軟件:Git管理高通的ChipCode項(xiàng)目

    處理卡住了,我們只能從git下手。Git有優(yōu)秀的項(xiàng)目管理代碼管理的能力,所以學(xué)一學(xué)git來(lái)
    的頭像 發(fā)表于 01-26 08:29 ?384次閱讀
    藍(lán)牙 | 軟件:<b class='flag-5'>Git</b><b class='flag-5'>管理</b>高通的ChipCode項(xiàng)目

    源代碼審計(jì)怎么做?有哪些常用工具

    地匹配、查找。 2、Checkmax:通過(guò)虛擬編譯自動(dòng)對(duì)軟件源代碼分析,并建立了代碼元素及代碼元素之間關(guān)系的邏輯圖。 然后對(duì)這個(gè)內(nèi)部代碼
    發(fā)表于 01-17 09:35

    Git開(kāi)發(fā)者關(guān)注內(nèi)存安全問(wèn)題,探討引入Rust語(yǔ)言

    根據(jù)最新披露的郵件討論,Git開(kāi)發(fā)團(tuán)隊(duì)熱議在Git項(xiàng)目中引入Rust的可行性。作為一種開(kāi)源的分布式代碼版本管理工具,廣泛運(yùn)用于各種開(kāi)發(fā)項(xiàng)目。盡管現(xiàn)在
    的頭像 發(fā)表于 01-15 14:23 ?615次閱讀
    <b class='flag-5'>Git</b>開(kāi)發(fā)者關(guān)注內(nèi)存安全問(wèn)題,探討引入Rust語(yǔ)言

    智能制造行業(yè)--客戶現(xiàn)場(chǎng)調(diào)試源代碼如何防泄密

    的困難,因?yàn)?b class='flag-5'>源代碼研發(fā)員工在工作過(guò)程中有一個(gè)版本管理服務(wù),這個(gè)不能完全禁止,也不能完全開(kāi)放。安秉信息源代碼防泄密方案在前幾期已經(jīng)詳細(xì)的介紹過(guò),可以很好的幫助企業(yè)做
    的頭像 發(fā)表于 01-11 16:27 ?489次閱讀
    智能制造行業(yè)--客戶現(xiàn)場(chǎng)調(diào)試<b class='flag-5'>源代碼</b>如何防泄密
    主站蜘蛛池模板: 日本真人啪啪试看30秒| 国产精品人妻无码99999| 欧美白妞大战非洲大炮| 91avcom| 老师你下面好紧夹死了| 中国农民真实bbwbbw| 久久综合香蕉久久久久久久| 印度人XXx| 啦啦啦 中国 日本 高清 在线| 伊人久久国产| 老板揉搓秘书丰满大乳| 2020国产成人精品免费视频| 女的把腿张开男的往里面插 | 久久久中日AB精品综合| 综合网伊人| 男男h开荤粗肉h文1v1| TIMI1TV天美传媒在线观看| 日本高清色片| 国产精品JIZZ在线观看A片| 小向美奈子厨房magnet| 好大快用力深一点h视频| 一二三四中文字幕在线看| 理论片午午伦夜理片I| caoporm国产精品视频免费| 青青草国产自偷拍| 国产成人精品综合久久久| 先锋影音av最新资源| 精品熟女少妇AV免费观看| 中文字幕中文字幕永久免费| 欧美成人免费观看久久| 郭德纲于谦2012最新相声| 亚洲成人免费在线| 久久久久久久伊人电影| 99热久久爱五月天婷婷| 色AV色婷婷66人妻久久久| 国产香蕉视频在线播放| 中国xxxxx| 青青草原直播| 国产欧美第一页| 又紧又大又爽精品一区二区 | 国产中文字幕免费观看|