GitHub 被黑,不明人士冒充 CEO 走漏其机密源代码
|
泄露文件已被全部删除 GitHub想必大家都非常熟悉,它是一个大型代码存储库,主要为企业和开发人员提供托管项目和服务代码。苹果,亚马逊,谷歌,Facebook以及其他许多大型科技公司都是其主要客户。同时,GitHub已托管超过1亿个存储库,为4000万开发人员提供资源支持。 因此,此泄露事件一出便迅速冲上了Hacker News热搜,不少开发者表示为GitHub平台的安全性感到担忧。 对此,GitHub CEO Friedman本人则第一时间在热帖下做出了解释。他表示, GitHub没有被黑客入侵,被泄露的是部分GitHub Enterprise Server源代码。二者虽然共享大量代码,但GitHub主要是由Ruby编写,还是有很大差异的。 另外,这一事件的起因是几个月前,开发人员无意间将企业服务器源代码的未脱敏/混淆的 tarball 交付给了一些客户造成的。我们正在全力修复平台Bug,防止未经授权的不明人士通过伪造身份随意盗用、修改他人项目。 最后,Friedman为了安抚用户甚至还吟了首勃朗宁的诗:一切都很好,情况也很正常,云雀展翅飞翔,蜗牛在荆棘上爬动,世上一切顺当! 不过,开发者们对此回应并不买账。从他们的吐槽来看,Github代码管理系统早已存在多项Bug,比如提交代码时,Git不会对用户身份进行核验。这一点会给源代码带来极大的安全风险,但GitHub平台对此从未重视过。 另外,有人表示正是利用这一缺陷,不明人士才得以冒充Friedman身份发布了机密代码。 源代码管理器Git存在Bug Git,是Github用来托管源代码的分布式版本管理系统,简单来说,就是源代码管理器。 它的设计存在一种明显的缺陷,即没有为防止其他用户盗用提供太多的保护。具体来说,Git 上传代码文件的过程,类似于发送电子邮件。用户可以在user.name和user.email字段中输入任何信息。这一过程中,如果两个字段之间不采用GPG密钥关联,系统就不会核查它的指定来源,那么信息造假会变得非常容易。 (编辑:大连站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
