YouTube-dl事件剛剛過(guò)去不久，GitHub又登上了Hacker News榜首。

原因是其源代碼被全部泄露!

從開(kāi)發(fā)者Resynth 發(fā)表的一篇博客中了解到，在一個(gè)向 GitHub 官方 DMCA 倉(cāng)庫(kù)提交的可疑 Commit 中，一名不明身份人員利用 GitHub 應(yīng)用程序中的bug 假冒GitHub CEO 奈特·弗里德曼 (Nat Friedman)上傳了機(jī)密源代碼。

泄露文件已被全部刪除

GitHub想必大家都非常熟悉，它是一個(gè)大型代碼存儲(chǔ)庫(kù)，主要為企業(yè)和開(kāi)發(fā)人員提供托管項(xiàng)目和服務(wù)代碼。蘋(píng)果，亞馬遜，谷歌，F(xiàn)acebook以及其他許多大型科技公司都是其主要客戶(hù)。同時(shí)，GitHub已托管超過(guò)1億個(gè)存儲(chǔ)庫(kù)，為4000萬(wàn)開(kāi)發(fā)人員提供資源支持。

因此，此泄露事件一出便迅速?zèng)_上了Hacker News熱搜，不少開(kāi)發(fā)者表示為GitHub平臺(tái)的安全性感到擔(dān)憂(yōu)。

對(duì)此，GitHub CEO Friedman本人則第一時(shí)間在熱帖下做出了解釋。他表示，

GitHub沒(méi)有被黑客入侵，被泄露的是部分GitHub Enterprise Server源代碼。二者雖然共享大量代碼，但GitHub主要是由Ruby編寫(xiě)，還是有很大差異的。

另外，這一事件的起因是幾個(gè)月前，開(kāi)發(fā)人員無(wú)意間將企業(yè)服務(wù)器源代碼的未脫敏/混淆的 tarball 交付給了一些客戶(hù)造成的。我們正在全力修復(fù)平臺(tái)Bug，防止未經(jīng)授權(quán)的不明人士通過(guò)偽造身份隨意盜用、修改他人項(xiàng)目。

 

最后，F(xiàn)riedman為了安撫用戶(hù)甚至還吟了首勃朗寧的詩(shī)：一切都很好，情況也很正常，云雀展翅飛翔，蝸牛在荊棘上爬動(dòng)，世上一切順當(dāng)!

不過(guò)，開(kāi)發(fā)者們對(duì)此回應(yīng)并不買(mǎi)賬。從他們的吐槽來(lái)看，Github代碼管理系統(tǒng)早已存在多項(xiàng)Bug，比如提交代碼時(shí)，Git不會(huì)對(duì)用戶(hù)身份進(jìn)行核驗(yàn)。這一點(diǎn)會(huì)給源代碼帶來(lái)極大的安全風(fēng)險(xiǎn)，但GitHub平臺(tái)對(duì)此從未重視過(guò)。

另外，有人表示正是利用這一缺陷，不明人士才得以冒充Friedman身份發(fā)布了機(jī)密代碼。

源代碼管理器Git存在Bug

Git，是Github用來(lái)托管源代碼的分布式版本管理系統(tǒng)，簡(jiǎn)單來(lái)說(shuō)，就是源代碼管理器。

它的設(shè)計(jì)存在一種明顯的缺陷，即沒(méi)有為防止其他用戶(hù)盜用提供太多的保護(hù)。具體來(lái)說(shuō)，Git 上傳代碼文件的過(guò)程，類(lèi)似于發(fā)送電子郵件。用戶(hù)可以在user.name和user.email字段中輸入任何信息。這一過(guò)程中，如果兩個(gè)字段之間不采用GPG密鑰關(guān)聯(lián)，系統(tǒng)就不會(huì)核查它的指定來(lái)源，那么信息造假會(huì)變得非常容易。

上述不明人士順利提交成功，顯然是Friedman沒(méi)為相關(guān)字段建立GPG(General Planning Group)密鑰。

那么，在繞過(guò)這層限制后，不明人士又是如何提交至存儲(chǔ)庫(kù)，同時(shí)又不損害實(shí)際存在賬戶(hù)的?據(jù)了解，將提交內(nèi)容上傳到Git存儲(chǔ)庫(kù)會(huì)得到一個(gè)散列，可用于查找樹(shù)。GitHub是Web應(yīng)用程序的一部分，提供了對(duì)瀏覽器中底層Git結(jié)構(gòu)的訪問(wèn)權(quán)限，因此，它可以將Git存儲(chǔ)庫(kù)的所有分支存儲(chǔ)在一個(gè)單獨(dú)的底層存儲(chǔ)庫(kù)中，盡管通常不會(huì)在URL結(jié)構(gòu)中顯示這種方式。

為了假冒別人的賬戶(hù)，不明人士首先需要克隆一個(gè)DMCA儲(chǔ)存庫(kù)。在擴(kuò)展到存儲(chǔ)庫(kù)之后，再提交泄漏源代碼，并偽造成Friedman的姓名和電子郵件地址。這個(gè)過(guò)程Fork存儲(chǔ)庫(kù)可能會(huì)出現(xiàn)錯(cuò)誤，換句話(huà)說(shuō)，URL可能依然指向假冒者真正的用戶(hù)名和賬戶(hù)。

但在底層Git上，父級(jí)和Fork都是同一個(gè)存儲(chǔ)庫(kù)的一部分，這將允許假冒者創(chuàng)建一個(gè)URL，該URL可以在主存儲(chǔ)庫(kù)中提交，而不是在Fork中。

因此，假冒者從https://github.com/github/dmca開(kāi)始，將tree/$hash追加到末尾，其中$hash是攻擊者自己的fork提交的散列值。

結(jié)果假冒者得以代替Friedman使用了一個(gè)URL在GitHub上提交了自己的機(jī)密代碼。

值得一提的是，除了代碼安全性的擔(dān)憂(yōu)之外，這件事也再度引起了開(kāi)發(fā)者們對(duì)GitHub開(kāi)源態(tài)度的關(guān)注。長(zhǎng)久以來(lái)，GitHub 一直因?yàn)槲垂_(kāi)源代碼而飽受詬病，而恰好前幾日，GitHub再度因封殺視頻神器YouTube-dl而陷入輿論風(fēng)波。

據(jù)了解，此次泄露事件的發(fā)生，很可能是這位不知名開(kāi)發(fā)者對(duì)封殺YouTube-dl一事的報(bào)復(fù)。

或許與下架YouTube-dl有關(guān)

上個(gè)月，在美國(guó)唱片業(yè)協(xié)會(huì)(RIAA)的要求下，GitHub 封禁了7.5萬(wàn)Star的熱門(mén)開(kāi)源項(xiàng)目 YouTube-dl。

 

當(dāng)時(shí)RIAA其給出的理由是，YouTube-dl其違反了DMCA的反規(guī)避條款：

此源代碼的明確目的是：1)規(guī)避 YouTube 等授權(quán)流媒體服務(wù)所使用的技術(shù)保護(hù)措施;2)未經(jīng)授權(quán)復(fù)制和分發(fā)會(huì)員公司擁有的音樂(lè)視頻和音頻。3)除YouTube外，該源代碼在 GitHub上支持更多網(wǎng)站下載視頻。

但GitHub將YouTube-dl下架，卻激怒了開(kāi)發(fā)者們，他們?cè)贕itHub上復(fù)制并上傳了大量代碼副本，以此對(duì)該下架行為表示抗議。目前在GitHub上搜索YouTube-dl，相關(guān)結(jié)果高達(dá)4108個(gè)。

后來(lái)，GitHub公司法律團(tuán)隊(duì)不得不發(fā)出最新警告，稱(chēng)如果繼續(xù)發(fā)布代碼副本，可能會(huì)對(duì)其進(jìn)行封號(hào)處理。

請(qǐng)注意，在未遵循流程的情況下重新發(fā)布YouTube-dl代碼副本是違反GitHub平臺(tái)DMCA政策和服務(wù)條款的。如果您在明知違反服務(wù)條款的情況下，繼續(xù)向該存儲(chǔ)庫(kù)提交或發(fā)布相關(guān)內(nèi)容，我們會(huì)將其刪除，并可能中止對(duì)您帳戶(hù)的訪問(wèn)權(quán)限。

雖然造成此次泄露事件的不知名人士并未對(duì)此事公開(kāi)表態(tài)，但有人猜測(cè)稱(chēng)可能是他對(duì)GitHub下架該項(xiàng)目的報(bào)復(fù)。

另外，在Friedman回應(yīng)泄露事件的帖子下可以看到，不少網(wǎng)友對(duì)GitHub因DMCA協(xié)議而下架YouTube-dl表示不滿(mǎn)。

 

還有一位用戶(hù)表示，GitHub之所以這樣做，很可能是因?yàn)槲④浭荝IAA的成員。他說(shuō)，DMCA 所要求的下架不是讓代碼版權(quán)所有者本身下架，GitHub作為一家倡導(dǎo)開(kāi)源的獨(dú)立公司，它不需要遵守RIAA的非法請(qǐng)求。 

 

可以看出，網(wǎng)友們的不滿(mǎn)顯示是因?yàn)榉饨皇屡cGitHub最初的開(kāi)源初衷背道而馳。

GitHub開(kāi)源精神惹爭(zhēng)議

2018年，微軟以75億美元的價(jià)格收購(gòu)GitHub。新任 CEO Nat Friedman 曾表示：GitHub 將始終堅(jiān)持開(kāi)發(fā)者優(yōu)先并獨(dú)立運(yùn)營(yíng)。 

 

Resynth在博客中也表示：微軟一再?gòu)?qiáng)調(diào)致力于開(kāi)源，這一點(diǎn)我們從很多商業(yè)廣告中經(jīng)?？梢钥吹?，它的目的是讓微軟出于開(kāi)源發(fā)展的最前沿。

但現(xiàn)在來(lái)看，微軟似乎并沒(méi)有做到承諾的那樣。而且YouTube-dl也只是最近發(fā)生的一例而已。事實(shí)上，GitHub因?qū)⑵湓创a保密的問(wèn)題已經(jīng)在業(yè)內(nèi)廣受批評(píng)。

另外，Resynth也提醒稱(chēng)，這次事件也不得不讓人們擔(dān)心 GitHub 源代碼的安全性。因?yàn)殚]源應(yīng)用程序執(zhí)行的是“隱蔽式安全 (Security By Obscurity)”，即源代碼是隱藏的，目的是降低安全風(fēng)險(xiǎn)。如果 GitHub 真的公開(kāi)源代碼，很可能會(huì)損害其整體的安全性。