В сеть утекли исходные коды GitHub и GitHub Enterprise

4 ноября 2020 года в репозитории github/dmca, где публикуются сообщения о нарушениях авторских прав, были размещены исходные коды GitHub.com и GitHub Enterprise. Исходники были выложены с сообщением: «felt cute, might put gh source code on dmca repo now idk» пользователем под ником nat, который пересекается с учётной записью Нэта Фридмана, гендиректора GitHub. Добавленные изменения уже удалены, но остались в архиве, сообщает OpenNet.

Оставить комментарий

4 ноября 2020 года в репозитории github/dmca, где публикуются сообщения о нарушениях авторских прав, были размещены исходные коды GitHub.com и GitHub Enterprise. Исходники были выложены с сообщением: «felt cute, might put gh source code on dmca repo now idk» пользователем под ником nat, который пересекается с учётной записью Нэта Фридмана, гендиректора GitHub. Добавленные изменения уже удалены, но остались в архиве, сообщает OpenNet.

Вероятно, код был присоединён к официальному репозиторию github/dmca при помощи техники, позволяющей представить любое стороннее изменение как уже включённое в другой проект. GitHub в целях оптимизации и исключения дубликатов хранит вместе все объекты из основного репозитория и форков, логически разделяя принадлежность коммитов. Это позволяет просмотреть в основном репозитории любой коммит из любого форка, указав его хэш в URL. Например, можно создать форк github/dmca и добавить в него любой код, и этот код станет доступен по прямой хэш-ссылке в репозитории github/dmca.

Размещённый код является копией исходных текстов, извлечённых из образа виртуальной машины с GitHub Еnterprise, вариантом GitHub для предприятий, позволяющем развернуть окружение для совместной разработки внутри корпоративной сети.

Нэт Фридман подтвердил, что опубликованный код получен не в результате взлома, а извлечён из образа с GitHub Enterprise. По словам Фридмэна, несколько месяцев назад по ошибке некоторым клиентам был передан образ GitHub Enterprise, содержащий tar-архив с необфусцированными и неочищенными (с файлами конфигурации, docker-файлами и сборочными сценариями) исходными текстами GitHub Enterprise Server (код поставлялся и до этого, но в урезанном и нечитаемом виде). GitHub Enterprise имеет общую кодовую базу с github.com. Коммит от имени Фридман фиктивный и не был подписан: подписанные коммиты снабжаются меткой «verified», а через неподписанные любой может легко выдать себя за другого в своей локальной копии Git и затем загрузить новый репозиторий на GitHub.

Хотите сообщить важную новость? Пишите в Телеграм-бот.

А также подписывайтесь на наш Телеграм-канал.

Горячие события

Открытая технологическая конференция ISsoft Insights 2021
19 июня

Открытая технологическая конференция ISsoft Insights 2021

Читайте также

GitHub, Apple, Stack Overflow: самые большие сообщества разработчиков
GitHub, Apple, Stack Overflow: самые большие сообщества разработчиков
GitHub, Apple, Stack Overflow: самые большие сообщества разработчиков
На серверах GitHub орудуют криптомайнеры. Компания ведёт расследование
На серверах GitHub орудуют криптомайнеры. Компания ведёт расследование
На серверах GitHub орудуют криптомайнеры. Компания ведёт расследование
На GitHub опубликован исходный код TikTok. Компания требует удалить
На GitHub опубликован исходный код TikTok. Компания требует удалить
На GitHub опубликован исходный код TikTok. Компания требует удалить
GitHub хочет восстановить уволенного сотрудника-еврея, виноватый HR ушёл из компании
GitHub хочет восстановить уволенного сотрудника-еврея, виноватый HR ушёл из компании
GitHub хочет восстановить уволенного сотрудника-еврея, виноватый HR ушёл из компании

Обсуждение

Комментариев пока нет.
Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже