0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

YouTube源代码管理器Git存在Bug

lhl545545 来源:雷锋网 作者:贝爽 2020-11-10 09:41 次阅读

YouTube-dl事件刚刚过去不久,GitHub又登上了Hacker News榜首。

原因是其源代码被全部泄露!

开发者Resynth 发表的一篇博客中了解到,在一个向 GitHub 官方 DMCA 仓库提交的可疑 Commit 中,一名不明身份人员利用 GitHub 应用程序中的bug 假冒GitHub CEO 奈特·弗里德曼 (Nat Friedman)上传了机密源代码。

泄露文件已被全部删除

GitHub想必大家都非常熟悉,它是一个大型代码存储库,主要为企业和开发人员提供托管项目和服务代码。苹果、亚马逊、Google、Facebook以及其他许多大型科技公司都是其主要客户。

目前,GitHub已托管超过1亿个存储库,为4000万开发人员提供资源支持。

因此,此泄露事件一出便迅速冲上了Hacker News热搜,不少开发者表示为GitHub平台的安全性感到担忧。

对此,GitHub CEO Friedman本人则第一时间在热帖下做出了解释。他表示:

GitHub没有被黑客入侵,被泄露的是部分GitHub Enterprise Server源代码。二者虽然共享大量代码,但GitHub主要是由Rube编写,还是有很大差异的。

另外,这一事件的起因是几个月前,开发人员无意间将企业服务器源代码的未脱敏/混淆的 tarball 交付给了一些客户造成的。我们正在全力修复平台Bug,防止未经授权的不明人士通过伪造身份随意盗用、修改他人项目。

YouTube源代码管理器Git存在Bug

最后,Friedman为了安抚用户甚至还吟了首勃朗宁的诗:一切都很好,情况也很正常,云雀展翅飞翔,蜗牛在荆棘上爬动,世上一切顺当!

不过,开发者们对此回应并不买账。从他们的吐槽来看,Github代码管理系统早已存在多项Bug,比如提交代码时,Git不会对用户身份进行核验。这一点会给源代码带来极大的安全风险,但GitHub平台对此从未重视过。

另外,有人表示正是利用这一缺陷,不明人士才得以冒充Friedman身份发布了机密代码。

源代码管理器Git存在Bug

Git,是Github用来托管源代码的分布式版本管理系统,简单来说,就是源代码管理器。

它的设计存在一种明显的缺陷,即没有为防止其他用户盗用提供太多的保护。

具体来说,Git 上传代码文件的过程,类似于发送电子邮件。用户可以在user.name和user.email字段中输入任何信息。这一过程中,如果两个字段之间不采用GPG密钥关联,系统就不会核查它的指定来源,那么信息造假会变得非常容易。

上述不明人士顺利提交成功,显然是Friedman没为相关字段建立GPG(General Planning Group)密钥。

那么,在绕过这层限制后,不明人士又是如何提交至存储库,同时又不损害实际存在账户的?

据了解,将提交内容上传到Git存储库会得到一个散列,可用于查找树。GitHub是Web应用程序的一部分,提供了对浏览器中底层Git结构的访问权限,因此,它可以将Git存储库的所有分支存储在一个单独的底层存储库中,尽管通常不会在URL结构中显示这种方式。

为了假冒别人的账户,不明人士首先需要克隆一个DMCA储存库。在扩展到存储库之后,再提交泄漏源代码,并伪造成Friedman的姓名和电子邮件地址。这个过程Fork存储库可能会出现错误,换句话说,URL可能依然指向假冒者真正的用户名和账户。

但在底层Git上,父级和Fork都是同一个存储库的一部分,这将允许假冒者创建一个URL,该URL可以在主存储库中提交,而不是在Fork中。

因此,假冒者从https://github.com/github/dmca开始,将tree/$hash追加到末尾,其中$hash是攻击者自己的fork提交的散列值。

结果假冒者得以代替Friedman使用了一个URL在GitHub上提交了自己的机密代码。

值得一提的是,除了代码安全性的担忧之外,这件事也再度引起了开发者们对GitHub开源态度的关注。

长久以来,GitHub 一直因为未公开源代码而饱受诟病,而恰好前几日,GitHub再度因封杀视频神器YouTube-dl而陷入舆论风波。

据了解,此次泄露事件的发生,很可能是这位不知名开发者对封杀YouTube-dl一事的报复。

或许与下架YouTube-dl有关

上个月,在美国唱片业协会(RIAA)的要求下, GitHub 封禁了7.5万Star的热门开源项目 YouTube-dl。

当时RIAA其给出的理由是,YouTube-dl其违反了DMCA的反规避条款:

此源代码的明确目的是:1)规避 YouTube 等授权流媒体服务所使用的技术保护措施;2)未经授权复制和分发会员公司拥有的音乐视频和音频。3)除YouTube外,该源代码在 GitHub上支持更多网站下载视频。

但GitHub将YouTube-dl下架,却激怒了开发者们,他们在GitHub上复制并上传了大量代码副本,以此对该下架行为表示抗议。目前在GitHub上搜索YouTube-dl,相关结果高达4108个。

后来,GitHub公司法律团队不得不发出最新警告,称如果继续发布代码副本,可能会对其进行封号处理。

请注意,在未遵循流程的情况下重新发布YouTube-dl代码副本是违反GitHub平台DMCA政策和服务条款的。如果您在明知违反服务条款的情况下,继续向该存储库提交或发布相关内容,我们会将其删除,并可能中止对您帐户的访问权限。

虽然造成此次泄露事件的不知名人士并未对此事公开表态,但有人猜测称可能是他对GitHub下架该项目的报复。

另外,在Friedman回应泄露事件的帖子下可以看到,不少网友对GitHub因DMCA协议而下架YouTube-dl表示不满。

还有一位用户表示,GitHub之所以这样做,很可能是因为微软是RIAA的成员。他说,DMCA 所要求的下架不是让代码版权所有者本身下架,GitHub作为一家倡导开源的独立公司,它不需要遵守RIAA的非法请求。

可以看出,网友们的不满显示是因为封禁一事与GitHub最初的开源初衷背道而驰。

GitHub开源精神惹争议

2018年,微软以75亿美元的价格收购GitHub。新任 CEO Nat Friedman 曾表示:GitHub 将始终坚持开发者优先并独立运营。

Resynth在博客中也表示:微软一再强调致力于开源,这一点我们从很多商业广告中经常可以看到,它的目的是让微软出于开源发展的最前沿。

但现在来看,微软似乎并没有做到承诺的那样,而且YouTube-dl也只是最近发生的一例而已。事实上,GitHub因将其源代码保密的问题已经在业内广受批评。

另外,Resynth也提醒称,这次事件也不得不让人们担心 GitHub 源代码的安全性。因为闭源应用程序执行的是“隐蔽式安全 (Security By Obscurity)”,即源代码是隐藏的,目的是降低安全风险。

如果 GitHub 真的公开源代码,很可能会损害其整体的安全性。
责任编辑:pj

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    8933

    浏览量

    85049
  • BUG
    BUG
    +关注

    关注

    0

    文章

    155

    浏览量

    15638
  • Youtube
    +关注

    关注

    0

    文章

    143

    浏览量

    15504
收藏 人收藏

    评论

    相关推荐

    TLV320AIC31的HPLOUT输出到音频管理器,音频管理器输出接到耳机,声音几乎听不到怎么处理?

    TLV320AIC31的HPLOUT后面接到音频管理器的输入,对我这边要求是,匹配阻抗600欧姆时,输出电压最大有效值800mv,请问TLV320AIC31的HPLOUT满足这样的输出要求吗,还是说必须
    发表于 10-12 07:02

    负载管理器的主要功能

    负载管理器(Load Manager)是计算机系统中的一个关键组件,它负责分配和管理计算资源,以确保系统运行的效率和稳定性。负载管理器的主要功能包括任务调度、资源分配、性能监控、故障恢复等。以下
    的头像 发表于 10-10 11:26 204次阅读

    hex可以转成源代码

    Hex文件可以转换成源代码的近似形式,但无法直接还原为原始的、完全相同的源代码 。这是因为Hex文件是二进制文件,包含了程序编译后的机器码,这些机器码与原始的源代码在结构和表达上存在
    的头像 发表于 09-02 10:41 618次阅读

    stm32H7 HAL库中存在bug

    stm32H7 hal 库里面的以太网代码,坑了鱼鹰很多次(不知道最新版是否已经修复了这些bug),这里分享一篇网上的文章,因为鱼鹰也遇到过,靠它解决了其中一个编译优化问题,在此感谢作者。不过hal
    的头像 发表于 08-12 17:37 669次阅读

    企业如何保护源代码安全?做好源代码防泄密工作

    出现了相似或相同功能的产品。这无疑引发了企业管理者们对于企业源代码数据泄漏的深深忧虑。 许多企业错误地认为,只要采用了版本管理工具如Git或SVN,
    的头像 发表于 05-22 16:01 406次阅读

    Windows 11 22H2新版任务管理器新增启用隐藏功能

    关于如何隐藏调用旧版任务管理器,网友 @thebookisclosed 分享了详细步骤。他指出,在现有 Windows 11 环境中,即使按 Ctrl+Shift+Esc 组合键也难以调出老版本的任务管理器,需通过特定路径“C:\Windows\SysWOW64\Task
    的头像 发表于 03-27 15:08 433次阅读

    安卓版Chrome浏览现已支持第三方密码管理器调用

    据报道,数据解析专家Leppeva64近日在安卓版谷歌Chrome浏览源代码中透露,该浏览已在安卓平台上实现了对第三方密码管理器的调用支持,并覆盖Stable、Beta及Cana
    的头像 发表于 03-19 11:04 632次阅读

    蓝牙 | 软件:Git管理高通的ChipCode项目

    处理卡住了,我们只能从git下手。Git有优秀的项目管理代码管理的能力,所以学一学git
    的头像 发表于 01-26 08:29 345次阅读
    蓝牙 | 软件:<b class='flag-5'>Git</b><b class='flag-5'>管理</b>高通的ChipCode项目

    源代码审计怎么做?有哪些常用工具

    地匹配、查找。 2、Checkmax:通过虚拟编译自动对软件源代码分析,并建立了代码元素及代码元素之间关系的逻辑图。 然后对这个内部代码
    发表于 01-17 09:35

    智能制造行业--客户现场调试源代码如何防泄密

    的困难,因为源代码研发员工在工作过程中有一个版本管理服务,这个不能完全禁止,也不能完全开放。安秉信息源代码防泄密方案在前几期已经详细的介绍过,可以很好的帮助企业做
    的头像 发表于 01-11 16:27 417次阅读
    智能制造行业--客户现场调试<b class='flag-5'>源代码</b>如何防泄密

    为什么安秉信息的源代码防泄密软件这么稳定?

    现在很多研发性企业都会意识到企业的源代码文件需要防泄密保护,现在很多企业对于源代码只是用了git或svn版本管理服务进行了简单的
    的头像 发表于 12-05 10:21 494次阅读
    为什么安秉信息的<b class='flag-5'>源代码</b>防泄密软件这么稳定?

    安秉信息源代码图纸防泄密方案,电路图纸,源代码文件

    安秉信息源代码图纸防泄密方案,电路图纸,源代码文件
    发表于 12-01 16:56 0次下载

    非常可靠的c#+svn或git服务源代码防泄密方案 全解析

    嵌入式开发源代码防泄密解决方案!
    的头像 发表于 12-01 15:37 458次阅读
    非常可靠的c#+svn或<b class='flag-5'>git</b>服务<b class='flag-5'>器</b><b class='flag-5'>源代码</b>防泄密方案 全解析

    极狐GitLab—新一代源代码管理仓库

    极狐GitLab是一款具有软件开发全生命周期的DevOps能力的新一代源代码管理仓库,无缝集成代码托管、敏捷管理、CI/CD,从需求管理到应
    的头像 发表于 11-29 15:40 676次阅读
    极狐GitLab—新一代<b class='flag-5'>源代码</b><b class='flag-5'>管理</b>仓库

    如何在层堆栈管理器中定义单层板?

    如何在层堆栈管理器中定义单层(单面)板?电路板目前有两层,但Layer Stack Manager不允许我删除其中一个信号层。
    的头像 发表于 11-10 15:19 735次阅读