聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

TypeScript的开发者Resynth 发布题为《GitHub 源代码泄漏》的文章指出，GitHub.com 的所有源代码被公开。

（泄漏者在 Readme 中指出，文档包括日常开发等内容如数据库迁移和测试。历史文档中包括 dotcom 开发人员和代码如何组织运转如开始、进程和理念以及技术栈。https://web.archive.org/web/20201104050026if_/https://github.com/github/dmca/tree/565ece486c7c1652754d7b6d2b5ed9cb4097f9d5）

GitHub 源代码疑遭泄漏

如下是博客全文：

在一个向 GitHub 官方 DMCA 仓库提交的可疑 commit 中，一名身份不明的人员利用 GitHub 应用程序中的一个 bug 假冒GitHub CEO Nat Friedman的身份，上传了机密的源代码。

长久以来，GitHub 一直因为未公开源代码而饱受诟病。GitHub 托管着数百万个开源项目，批评人士认为从某种程度来看 GitHub 是虚伪的。

然而，这次事件引发人们对 GitHub 源代码安全的关注，以及如果 GitHub 真的公开源代码，那么它是否会因此而受损。有人认为这将损害 GitHub 的整体安全性，这种说法可能是正确的。一般而言，闭源应用程序执行的是“隐蔽式安全 (security by obscurity)”，即源代码是隐藏的，目的是降低安全风险。

自2018年收购 GitHub 后，微软一再强调其对开源的“爱”。我们可以从很多商业广告中不断听到这种言论，它的目的是让微软处于开源发展的最前沿。

但一些用户如 Drew DeVault 认为微软此举试图在审查开源。通过闭源应用程序以及 Git 的专有扩展，GitHub 被视作试图包含开源的平台。例如，GitHub 宕机两小时会导致数千个开源项目无法访问以及变得不稳定。

从很多方面来看，GitHub 堪称开源开发界的谷歌。

或许，GitHub 在12年之后终于向公众开放了源代码；而这可能也是我们所需要的。

CEO 澄清：GitHub 未被黑

GitHub 的 CEO Nat Friedman 在 Hacker News 上做出了回应，如下是全文：

GitHub 并未被黑。几个月前，我们不慎将未脱敏/混淆的 GitHub Enterprise Server 源代码发给了一些客户。它和 github.com 共享了代码。像其他人说的那样，GitHub 的很多部分是用 Ruby 编写的。

Git 使冒用未签名 commit 变得容易，因此我们建议大家签名 commit 并查找 GitHub 上是否有 “已验证“ 标签，确保一切按预期执行。

至于仓库假冒问题，敬请关注。目前我们正在致力于让大家查看孤儿文档 (orphaned commit) 时使它变得更显眼。

一言以蔽之：一切都很好，情况如常，云雀正准备起飞，蜗牛爬行于荆棘，世界正常运转。

GitHub & 开源 & 安全

这件事在社交平台上引发关注。

有人认为，光有绿色的“已验证”提示是不够的，需要为不具有 PGP 密钥的用户添加红色的“未验证”提示。或者在资料中添加一个勾选框如“特殊标记未签名 commit” 或者甚至是”我的账户与未签名 commit 无关“等。

有人表示，尽管做出了澄清，但由于 GitHub 是闭源的，因此这起事件仍然可定性为“泄漏“。既然源代码如此容易获取，GitHub 源代码为何不开源的问题？有人认为，源代码开源与其运行专有 SaaS 的商业模型不符。GitHub 是一家公司而不是社区项目，开源不会获得任何好处，因此不会这么做。开源会带来很多隐形成本，闭源并非魔鬼，而用户可以选择其它开源 git 托管平台。也有人反问，为什么所有一切都需要开源呢？如果开源可以带来附加值则选择开源。GitHub 不开源并非因为某些秘方使它的源代码具有特殊之处：Gitlab 复制了 GitHub 的多数功能，而很多其它开源托管平台也是如此。GitHub 的价值在于分享思想，而非代码层面的东西。

也有人猜测，GitHub 源代码泄漏事件和前不久发生的 youtube-dl 遭 GitHub 下架有关。Youtube-dl 是一款颇受欢迎的 Youtube 视频下载命令行工具，未下架之前在 GitHub 排名第六，获得的 Star 超过7万。该工具遭各大视频平台的强力抵制，GitHub 按照 DMCA （《数字千年版权法》）规定将其下降，但引发用户的强烈抵制。

你怎么看？

推荐阅读

一拖再拖忍无可忍，谷歌披露影响开发人员的 GitHub 高危0day漏洞

Repo Jacking：依赖关系仓库劫持漏洞，影响谷歌GitHub等7万多个开源项目的供应链

Kramdown 配置不当引发 GitHub Pages 多个 RCE，得 $2.5万（$6.1万系列之二）

原文链接

https://resynth1943.net/articles/github-source-code-leak/

https://news.ycombinator.com/item?id=24994746

https://web.archive.org/web/20201104050026if_/https://github.com/github/dmca/tree/565ece486c7c1652754d7b6d2b5ed9cb4097f9d5

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错，就点个 “在看” 吧~