首页 > 评论 > 关键词 > GitHub最新资讯 > 正文

GitHub 源代码泄露,CEO 回应:这是个意外

2020-11-05 16:30 · 稿源:InfoQ公众号

声明:本文来自于微信公众号“InfoQ”(ID:infoqchina),作者:褚杏娟,授权站长之家转载发布。

今天, TypeScript 开发者 Resynth 发文称,代码托管服务 GitHub 的全部源代码被泄露。他表示,在向官方 GitHub DMCA 提交的可疑文件中,一个身份不明的人利用 GitHub 应用程序中的一个漏洞冒充 GitHub CEO Nat Friedman 上传了机密源代码。

黑客,鼠标,隐私,互联网,创业

疑似泄露代码地址:

https://web.archive.org/web/20201104050026if_/https://github.com/github/dmca/tree/565ece486c7c1652754d7b6d2b5ed9cb4097f9d5

随后,Nat Friedman 迅速在 Hackernews 的帖子上做了回复。他表示 GitHub 没有被黑客入侵,一切都很正常。所谓泄露的代码是几个月前他们意外地将 GitHub Enterprise Server 源代码未脱敏 / 混淆的 tarball 交付给了一些客户。

随意封禁,GitHub 被指没有开源精神

有开发者指出,此次泄露事件与 GitHub 上周下架 youtube-dl 和后续一系列动作有关,开发者用这种方式来进行抗争。

上周五,在应美国唱片业协会(RIAA)的要求下, GitHub 下架了平台上最受欢迎的项目之一:下载器项目 YouTube-dl。但 RIAA 的禁令起到了相反的效果,很多开发人员开始对此表示抗议,并发布了更多代码副本。事件发生以前,在 GitHub 上搜索 Youtube-dl 相关的项目只有20多个,而现在至少能搜出4100多个。

其实对于 GitHub 来说,封禁项目不是什么新鲜事。

去年5月,GitHub 更新了用户协议,表明 GitHub 的产品和服务适用于美国出口管制法律。当年7月起,GitHub 基于美国出口管理条例,开始对伊朗、叙利亚和克里米亚的私人 repo 和付费账户实施限制。

从克里米亚地区的俄罗斯籍开发者到全部伊朗境内开发者再到定居芬兰的伊朗籍开发者,统统遭遇了账号被封无法创建私有库、已经创建的私有库被关闭等问题。而这些开发者并未得到 GitHub 提前通知,没有任何缓冲备份的时间。

今年3月份,GitHub 封禁了一个属于微软的前端开源项目 Aurelia,理由是项目中有两名来自伊朗的外部贡献者。Aurelia 是微软开发的 JavaScript 框架,已开源了5年。

这再次引发了开发者们的质疑:GitHub 封禁项目是否太随意?这难道不是与开源精神背道而驰?

事件不断发酵,GitHub CEO 不得不对此事进行道歉:关闭此帐户显然是一个可怕的错误。我们正在调查具体过程,并更改规则以确保此类问题不会再次发生。当然这一声明并没有阻止封禁事件的再次发生。

此事也引发了后续的一个讨论:GitHub 上的技术是各国志愿者撰写并无偿分享,并非美国购买有著作权的所有物,美国无权拿不属于自己的东西制裁别人甚至“拿伊朗的技术制裁伊朗”。GitHub 最后在争议下觉得有所理亏而改变作法,被封禁的用户可以下载回自己的作品,但依然不能在社区里查看代码。

但无数开发者已经深刻的意识到,被微软收购后的 GitHub 说到底还是一家美国企业。开源虽然无国界,但 GitHub 却是有国界的。有趣的是,GitHub 今年初发布的《八度宇宙状态》报告显示,截止2019年,GitHub 上共有4000万名开发者,而80%的代码贡献者来自美国以外的地区。

GitHub 为什么不开源自己的代码?

“GitHub 本身不是开源的,这使我永远不满意。”有开发者表示。

这次 GitHub 源代码疑似泄露事件,刺激了开发者对 GitHub 的讨论:既然源代码如此容易就可以获得,为什么 GitHub 不开源?

大家将 GitHub 不开源的原因归结到其本质上是一家商业公司。GitHub 的主要目标客户是企业,他们关心合法性。获取非法源代码很容易,他们的客户不会冒这个险。同时,如果 GitHub 只是转储了代码库但对错误报告响应很慢,那将很不利于他们的公关形象。开源不仅需要源代码,还需要更多。

被封禁账户的俄罗斯研发人员 Nikolay 表示:“GitHub 虽然是一个开源社区,但更是一个商业公司。对外形象和求稳才是他们真正在意的吧。只要有人施压,他们可以轻易处置任何人。”

也有支持者认为,GitHub 的价值在于分享思想,而不是任何明智的代码。一直以来,GitHub 都是托管开源项目的最佳选择,但自从被微软收购后,它一直无法摆脱商业公司的标签。

猎豹移动董事长兼 CEO 傅盛曾在一次演讲中说:你把一个 App 放在网络上,可以让几十亿人下载,让全世界的人知道你。时过境迁,谷歌、苹果、Facebook 这样超大平台的出现,使得事情又走向了另一个极端。当涉及到各种商业利益和社会因素的时候,它们同样可以在一天内让几十亿的用户完全接触不到你,让你建立的基业瞬间湮灭——这就是垄断平台的力量。

这句话放在 GitHub 身上,同样适用。

GitHub 不代表开源

从2008年正式上线至今,GitHub已经成为全球最大的社交编程及代码托管网站,但最受欢迎并不代表全部。GitHub 自身也会面临很多外部问题。

2013年1月,GitHub 突然疑似遭遇 DDOS 攻击,访问大幅放缓。经过网站管理员查询日志发现,是来自12306的抢票插件用户洪水般的访问导致 GitHub 出现问题。2019年5月,《个人电脑杂志》网站报道,GitHub 遭到一名黑客入侵。据称,这名黑客先擦除代码资源库,然后作为恢复数据的交换向用户所要赎金。

最近,Github 被发现存在一个高危漏洞,基本上所有拥有复杂 Github Actions 的项目都容易被攻击。这让 Github 的安全性也遭到质疑。

GitHub 能够跟开源划等号吗?肯定不能。

延伸阅读:

https://resynth1943.net/articles/github-source-code-leak/

  • 相关推荐
  • 大家在看
  • GitHub警告用户重新发布YouTube-DL账号可能会被禁

    前不久,全网视频下载工具YouTube-dl因构成侵权,在GitHub上被下架。YouTube-DL的下架在网上引起了巨大反响,大量愤怒的开发者和用户将这段有争议的代码转发到Github,表达了他们的不满。

  • 因构成侵权 全网视频下载工具YouTube-dl被GitHub下架

    近日,一款名为YouTube-dl的项目在GitHub上被下架。据悉,YouTube-dl是一款基于python编写的语言,其功能强大,支持全世界几百个网站的视频下载,并支持转换任意格式。

  • 被控侵权 全能视频下载软件YouTube-dl被微软Github封杀

    谷歌油土鳖上有很多视频,只是官方早就禁止了下载功能,所以YouTube-dl这个软件很流行,它可以下载很多网站的视频,包括国内网站。不过这个软件日前已经被微软旗下的Github封杀了。YouTube-dl

  • 72000 Star 下载工具被 GitHub 下架,背后的数字千年版权法案是什么?

    日前,拥有72k+ star 的命令行视频下载工具 youtube-dl 被 GitHub 下架,原因是受到了数字千年版权法案的限定,服务平台有责任对于违反规定的软件进行下架处理。

  • 2元钱就能买上千张涉隐私人脸照 央视:大家要加强保护隐私

    在日常的生活中,大家一定要加强保护自己隐私的观念,你很不起眼的一个行为,可能就泄露了自己的信息。据央视新闻报道的情况,在某些网络交易平台上,只要花2元钱就能买到上千张人脸照片(500

  • 苹果代工厂代码汇总 iPhone手机代工厂代码

    苹果iPhone手机是由多家代工厂制造,比如富士康、和硕、纬创等,都是比较大的苹果代工厂,主要负责iPhone、iPad、Apple Watch等产品的代工,那么这些代工厂的代码是多少呢,我们来一起看下吧。

  • 再次中断拍摄:Netflix《The Harder They Fall》一演员检测出新冠阳性

    据外媒报道,尽管电视和电影行业在停产和中断数月后正在慢慢恢复工作,但疫情仍在制造问题并带带来延误。最新的例子就是Netflix的原创西部片《TheHarderTheyFall》,在一名演员被检测出COVID-19呈阳性后该片不得不暂停制作。

  • 唯品会回应隐私泄露:基本排除,已配合警方调查

    电商购物平台唯品会被指泄露个人消息,导致用户被骗数万元。唯品会回应称基本排斥平台泄露信息,并已配合警方调查。

  • 3个月时间,5名黑客找出苹果55个漏洞,赚了5万多美元,还写了篇博客记录全程

    昨天,翘首期待的iPhone12 终于面世,不管是回归经典方框设计,还是首次推出小屏mini版,都让苹果玩家大呼过瘾。不过,在今年这场别开生面的发布会之前,以安全著称的苹果却忽然被曝出 55 个漏洞。

  • 如何彻底删除微信指定聊天记录?杜绝个人聊天隐私被恢复!

    如何彻底删除微信指定聊天记录?保证个人的隐私安全,是目前每个使用微信的用户都特别关注的问题,因为微信聊天中涉及的个人隐私太多,万一不小心或被有心人伺机窥探,更甚至利用我们的隐私进行敲诈,都会给我们个人带来极大的危害。那么如何才能将微信中的聊天隐私做到保护呢?最保险的办法是彻底删除,彻底删除后就没有任何办法恢复了,也就变相的永久保护了我们的隐私安全。在这里小编为大家介绍三种有效的删除方法。删除方法一:?

  • 99元的低价蓝牙耳机却有高配置,Xisem西圣ASN重新书写了高性价比耳机的传奇

    提到xisem西圣蓝牙耳机,大家第一反应除了“高配置,低价格”,然后就是“又没货了~!”,据很多蓝牙耳机品牌反馈,Xisem西圣蓝牙耳机绝对是2020的一匹黑马,是近年来最火爆的蓝牙耳机之一,是目前蓝牙耳机市场性价比最高的蓝牙耳机。优点一箩筐,但是有一条致命的问题:断货王。Xisem西圣作为今年发展比较好的一个蓝牙耳机新品牌,在旗下的Xisem西圣Ares的大卖之后,就在几个月前顺势推出了99元的Xisem西圣ASN半入耳蓝牙耳机,上市

  • LOL手游100036等错误代码详细解决办法 全部错误代码分享

    LOL手游中因为是玩的外服,大量的玩家都会遇到各种各样的代码错误,下面就来为大家分享一下例如100036、100093、10087、we've let too many poros in、Unable to login with an account from the regin等错误代码解释。

    lol
  • 深入解析Lua脚本加密技术,给游戏代码加上“紧箍咒”

    不少安全专家表示,在互联网上失去对代码的控制,就像把银行的设计图交给抢劫犯一样。Lua是一种被广泛用于游戏开发中的计算机语言,方便开发者定制自己所需的功能。其中,红遍全球的《愤怒的小鸟》就是由Lua语言用Wax开发的。此外,梦幻西游、奇迹暖暖、开心消消乐、放置奇兵、最强蜗牛等手游也采用了Lua语言进行编写。近年来,Lua脚本在游戏行业长期流行,但Lua脚本泄露事件屡见不鲜,其安全性也引起关注。不法分子通过开私服、开

  • 微软敦促各机构立即行动确保数据隐私而不是等待和依赖立法

    随着远程工作环境成为新的常态,随着疫情的不断蔓延,数字数据隐私和安全变得比以往更加重要。为此,在过去的几周里,微软推出了零信任部署中心、新的威胁防护API以及促进网络安全意识的举措。现在,该公司正在敦促各个组织在确保客户数据的隐私和安全方面做更多的工作,而不是仅仅依靠美国的州立法机构。

  • 彻底删除微信聊天记录的技巧有哪些?打开这个开关,避免隐私危机!

    彻底删除微信聊天记录的技巧有哪些?微信聊天记录如果不能够彻底删除会带来很多意想不到的后果。一是导致手机内存不足,手机会卡顿,应用软件运行速度缓慢。二是因为微信记录中个人信息非常多,有隐私泄露的风险。所以为了避免带来的不便,小编为大家提供三种彻底删除微信记录的技巧!第一种、卸载微信应用软件彻底删除微信聊天记录的技巧有哪些?恢复数据的主要通道就是手机缓存,直接卸载微信软件是有效地破坏手机缓存的方法,因为?

  • 区块链隐私支付MOYU项目13日在LBANK首发

    据区块链隐私支付MOYU(墨鱼)官方推特消息,MOYU已与全球知名数字资产交易平台Lbank达成合作,将于 2020 年 10 月 13 日在LBank首发上线。 人人并不是生而拥有隐私和安全,对隐私的保护,需要由隐私数据保护共识交织而成。MOYU隐私支付项目,将用户的支付数据隐私,通过区块链技术,加密后在区块链实现确权,通过纳入最新隐私支付协议,以确保社区成员的支付安全。MOYU 是区块链隐私支付的基础设施。由全球各地支付领域专家、密码学

  • 怎么彻底删除微信群里的聊天记录?您的隐私安全管家已上线!

    怎么彻底删除微信群里的聊天记录?微信群聊是微信非常重要的功能之一,在工作和生活中有共同交集的个体组建群聊,交接工作,沟通感情。长此以往,聊天记录中肯定或多或少有一些专属于这个小组织的秘密,怎样能保证隐私安全,防止信息泄露呢? 怎样的操作能彻底删除微信群里的聊天记录不被修复呢?小编请教了数据工程师,给出以下的结论: 方法一:应用删除法 怎么彻底删除微信群里的聊天记录?这种方法无疑是最手机缓存伤害最大的!那就是应用删

  • IBM将代码风险分析器添加到基于云的CI/CD

    为了将安全性和合规性分析引入给开发人员,IBM已将其代码风险分析器功能添加到其IBM Cloud Continuous Delivery服务中。IBM将代码风险分析器描述为一种安全措施,可以将其配置为在开发人员的代码管道开始时运行,以分析和查看Git存储库以发现开源代码的问题。目的是帮助应用程序团队识别网络安全威胁,确定应用程序安全问题的优先级并解决安全问题。IBM Cloud Continuous Delivery帮助供应工具链,自动化测试和构建以及通过分析控

    IBM
  • 苹果因iPhone隐私设置改变 在法国面临反垄断投诉

    10月29日消息,据国外媒体报道,广告公司和出版商已向法国反垄断机构投诉苹果公司,称苹果公司计划推出的隐私设定改变是反竞争的。苹果广告标识符是一组用于投放定向广告并评估广告效力的关键数字,然而据报道,明年年初开始,苹果公司的操作软件将要求应用程序在收集用户广告标识符之前获得用户的选择加入许可。根据这份报告,投诉称苹果的许可提示的措辞会导致大多数用户拒绝跟踪他们设备的广告标识,这可能会导致收

  • 34款违法App被公布 涉嫌超范围采集个人隐私信息

    今日,国家计算机病毒应急处理中心公布了多款购物类移动应用存在隐私不合规行为。​具体包括了:其中,《聚多多优惠》(版本4.7.2)在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则,或以默认选择同意隐私政策等非明示方式征求用户同意。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签