重磅!GitHub 全部源代码被泄露?

最新推荐文章于 2024-07-22 15:58:50 发布
最新推荐文章于 2024-07-22 15:58:50 发布
阅读量1.3k 收藏
点赞数
文章标签: github 微软 编程语言 安全 android模拟器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/j3T9Z7H/article/details/111243487
版权
美国KeyBank因内部分析能力限制转向云存储,银行行业亦在考虑跟进。然而,GitHub近期发生源代码泄露事件,疑似由于Git提交漏洞导致。尽管GitHub官方回应称处于可控范围,但用户对先前报告的漏洞处理不力表示不满,引发社区讨论。此事件引发了关于云存储安全性的担忧和GitHub管理问题的质疑。
摘要由CSDN通过智能技术生成

点击上方蓝色“程序猿DD”,选择“设为星标”

回复“资源”获取独家整理的学习资料!

前言

由于内部分析基础设施的容量已达到极限,总部设于俄亥俄州克利夫兰市的美国KeyBank银行于今年开始转向云分析计算,同时随着云存储技术的发展,越来越多的银行开始考虑将客户数据迁移至云端存储。专家预计这将减少银行75%空间和成本!

云存储真的安全吗?

我突然想起最近各个技术网站上热议的一件事情:“GitHub全部源代码泄露!”

这里所说的源代码,并非我们广大用户存储在GitHub上的开源代码,而是指GitHub,其本身自己的代码!!!

甚至有调皮的网页第一时间发文表示 “GitHub把自己开源了!”

这件事情是怎么被发现的呢?我们要感谢TypeScript的开发者Resynth大神,敢于揭露事情的真相。

他在自己的博文中宣布了此事,按照他的说法,他发现一些非常可疑的提交,这些提交的备注是:“felt cute, might put gh source code on dmca repo now idk”

似乎是一个身份不明的人冒充GitHub CEO 纳特·弗里德曼(Nat Friedman)利用 GitHub 应用程序中的漏洞bug,上传了机密源代码。

这些代码包括 linting 配置、CI 工作流、Dockerfiles 和其他与构建相关的配置文件,以及"This is GitHub.com and GitHub Enterprise."的文案。

事件暴露之后引起广大开发者的热议,因为有一部分开发者早在很久以前就反馈过类似的程序隐患,但一直没有引起官方重视及回复。按网友的说法,微软似乎从来不承认这些问题的存在

我们先来简单了解下这个安全漏洞是怎么一回事。

GitHub 的源代码管理器 Git,提交方式比较像电子邮件,允许用户随意填写用户名及邮箱地址。所以,任何人大可以用GitHub CEO 纳特·弗里德曼(Nat Friedman)的名字进行提交,官方完全不会确认是否真的是其本人,除非当提交信息中包含其密钥签名。这次出问题的这些提交,恰巧就是没有密钥签名的。

而真正让网友炸锅的,是随后,真·GitHub CEO 纳特·弗里德曼(Nat Friedman) 做的回应。

他表示“GitHub 并没有被黑客入侵,一切依旧正常。所谓泄露的代码是几个月前他们不小地将 GitHub Enterprise Server 上一些没有脱密的源代码交付给了一些客户,但一切处于可控范围,不会影响大家的安全。”

看到这里,真的瞬间想起国内一些当红流量小生在粉丝闹事情况下糟糕的危机公关,真的很想问一句GitHub“你们没有专门的公关团队吗?这样就觉得可以糊弄过去?

因为之前一些用户已经反馈过GitHub的代码管理系统早已存在的多项Bug,官方的一直不作为,再加上敷衍了事的态度,似乎更激起了大家针对GitHub本身的不满情绪。

例如:

网友 exabrial:您认为这是正常情况?那你们是不是还想通过伪造无效的 DCMA,删掉其他的什么项目?

CEO 弗里德曼:这边建议您阅读 DCMA 工作原理呢。(不由自主脑补了他说这一段话时的傲慢脸)

网友 dannyw:如果 GitHub 真的提倡开源,它就不会是现在这样。微软可是 RIAA 的成员!(GitHub 前段时间应 RIAA 的要求,直接删除了 GitHub 上开源的油管视频下载器 Youtube-dl,引起了广大开发者不满,也有人认为就是有人为了Youtube-dl事件报复微软才泄露的本次代码)

正所谓不作不死,这一下子还有人发现:GitHub 最初删掉的相关项目只有 18 个,而现在竟然变成了 4000 多个! 天知道都是些什么内容,藏着什么黑幕!

自从2018年微软收购了GitHub 之后,GitHub 的开源就开始逐渐变了味道,虽然微软官方的口径一直是鼓励开源,但是实际上已经不止一次封印了一些社区的开源代码,具体原因,我们只能呵呵了。

此时此刻想起了Ensemble Studios,可能很多人不知道它是什么,但说起帝国时代,应该80后都知道。Ensemble Studios就是帝国时代的制作工作室,成立于1995年,于2001年被微软收入麾下,然后又在2008年9月被微软关闭。用他们的员工的话说就是“微软是一家上市公司,他们只对他们的股东负责。”希望同样的事情,不要出现在GitHub 身上。

你怎么看这件事呢?欢迎留言讨论!

DD自研的沪牌代拍业务,点击直达

【往期推荐】

这本空降京东当当新书榜TOP1的“算法小抄”是什么来头?

2020-12-14

Redis 的 8 大数据类型,写得非常好!

2020-12-14

Spring Boot 的2020最后一击:2.4.1、2.3.7、2.2.12 发布

2020-12-13

排名前 16 的 Java 工具类,哪个你没用过?

2020-12-13

GitHub 推出 2020 宇宙新功能:Dark Mode!从此深夜搞开源不再被亮瞎了!

2020-12-12

基于 Token 的多平台身份认证架构设计

2020-12-12

扫一扫,关注我

一起学习,一起进步

每周赠书,福利不断

深度内容

推荐加入

欢迎加入知识星球,一起探讨技术架构,交流技术人生。

加入方式,长按下方二维码:

已在知识星球更新如下:

素质二连,走一个

程序猿DD_
关注
视觉-语言大模型原理
07-28 62
在预训练阶段,Qwen-VL使用了一个大型的语言模型(LLM)作为基础组件,该模型的权重是从Qwen-7B模型中初始化的。此外,基于预训练的Qwen-7B,发布了Qwen-7B-Chat,这是一个基于大型模型的人工智能助手,通过对齐技术进行了训练。通过将Q-Former的输出连接到冻结的语言模型,并训练Q-Former使其输出的视觉表示可以被语言模型解释,从而实现视觉到语言的生成学习。在这个阶段,Qwen-VL的目标是通过最小化多个任务的损失函数来训练模型,以提高模型在各个任务上的性能。
云计算技术 — 云计算技术发展编年史
热门推荐
烟云的计算
10-31 1万+
目录 文章目录目录虚拟化的发展进程硬件仿真虚拟化完全虚拟化半虚拟化操作系统虚拟化 虚拟化的发展进程 1959 年,克里斯托弗(Christopher Strachey)在国际信息处理大会(International Conference on Information Processing)上发表了一篇名为《大型高速计算机中的时间共享》(Time Sharing in Large Fast Comp...
GitMAD:用于发现Github上的敏感信息和数据泄漏的工具
systemino的博客
08-01 1086
GitMAD是一个用于发现Github上的敏感信息和数据泄漏的工具。通过给定关键字或域,GitMAD便会搜索Github上托管的代码,以查找是否存在匹配项。一旦找到了匹配项,GitMAD将克隆存储库并在文件中搜索一系列可配置的正则表达式。然后,GitMAD会获取这些结果,并将它们插入到数据库中供后续的查看使用。这些结果也可作为邮件警报发送。另外,GitMAD将持续运行以发现与输入关键字匹配的新存储...
Tata开发人员将银行代码泄露至公共GitHub代码库
weixin_34395205的博客
07-04 366
食品安全测试企业Tellspec公司CTO兼前银行软件开发者杰森·科尔斯表示,他们在偶然之间发现由位于印度加尔各答的软件开发商Tata公司的员工在公共GitHub代码库当中上传大量涉及金融机构的源代码与内部文件。在归档文件当中,他们发现了开发笔记、原始源代码、Web银行代码开发规划内部报告以及与各外包合作伙伴间的往来通话记录。 10家金融单位受影响这些...
GitHub代码泄露监控
最新发布
所罗门,老娘回来了
07-22 872
GitHub作为开源代码平台,给程序员提供了交流学习的很多便利,但如果使用不当,比如将包含了账号密码、密钥等配置文件的代码上传了,导致攻击者能发现并进一步利用这些泄露的信息,就需要安全人员介入
微软 GitHub 私有仓库疑被黑,黑客称偷了63.2 GB 源码
redditnote的博客
05-08 1320
(给技术最前线加星标,每天看技术热点)原创:技术最前线(ID:TopITNews)参考:BleepingComputer、mspoweruser微软 GitHub 私有仓库疑被黑,黑客称...
程序员大本营GitHub遭黑客劫持,是时候认真聊聊开源代码安全
脑极体
05-06 1863
著名的“交友网站”GitHub是程序员的“大本营”,很多人都将源代码托管在上面,并不断利用社区开源资源开发新的算法、软件、应用。这样一个极客云集的平台,居然被黑客给一窝端...
如何防止企业的数据和机密从GitHub存储库泄露
ksy_com的博客
06-17 281
研究表明,网络攻击者不断在GitHub等公共代码存储库中搜索开发人员可能留下的秘密,任何微小的错误都可能被他们利用。安全研究员Craig Hays在疫情期间进行了一个实验。他将其SSH用户名和密码泄露GitHub存储库中,看看是否有网络攻击者可能会找到它。他认为可能需要等待几天才会有人注意到。事实证明更加残酷,第一次未经授权的登录发生在其泄露用户名和密码之后的34分钟内。他说:“对我来说,最让我大开眼界的是它被利用的速度有多快。”在最初的24小时内,六个不同的IP地址9次登录他的帐号。一名网络攻击者试图安
如何看待B站源代码github泄露问题!
马小婧QAQ
08-31 789
作为一个吃瓜群众,首先我们上瓜!今天有很多技术群中,都在热烈讨论关于B站的Go语言源代码被上传到了全球最大的单身交友社区GitHub上面,一时间被快速传播开来。 各位技术大牛都争先恐后去fork代码,以至于star飙升,可见大家对技术的求知欲是多么强烈啊!还有人已经去知乎上去提问,当然也有人冒领肇事者,具体是何原因,还未公布。 截止到笔者发稿,GitHub上的源码地址已经不能访问,不过已经被很多人clone到本地后,在GitHub上进行扩散了。 ...
bilibili源码_Bilibili网站源代码泄露GitHub
weixin_42510460的博客
12-29 2706
名为openbilibili的用户在GitHub上发布了“哔哩哔哩bilibili 网站后台工程 源码”项目,网友发现代码库包含了部分硬编码的用户名密码等敏感信息。此项目被Clone了数千份后,Bilibili 发出 了DMCA(Digital Millennium Copyright Act千禧年数字版权法) 通知GitHub删除该代码库, 随后GitHub关停了相关项目。根据G...
Spring Boot 2.4 对多环境配置的支持更改
程序猿DD
12-17 1387
在目前最新的Spring Boot 2.4版本中,对配置的加载机制做了较大的调整。相关的问题最近也被问的比较多,所以今天就花点时间,给大家讲讲Spring Boot 2.4的多环境配置较...
卡巴斯基2009源代码泄露 种子下载
02-02
卡巴斯基2009源代码泄露 种子下载 这份源代码最早由卡巴斯基前员工于2008年窃取,本想在黑市出售,但后来该员工被判处入狱三年。如今,这份源代码被泄漏到BT网站上。   源代码的最后修改日期为2007年12月,从目录树判断,应该是卡巴斯基安全套装KasperskyInternetSecurity8.0的测试版。   这份源代码泄露了卡巴斯基的反病毒引擎、反钓鱼引擎、反恶意拨号引擎、反垃圾邮件引擎、父母控制引擎和其他重要安全模块的信息。   卡巴斯基表示,任何泄露源代码都不会对当前的卡巴斯基安全软件构成威胁,因为这份源代码是3年前泄露的,目前大部分已经更新。   但业内人士称,卡巴斯基拥有全球杀毒软件市场5%的份额,因此这份源代码很有价值。尤其是对于恶意软件和病毒作者,他们一定从中得到灵感。
栋的月结 | 第二回合(定期更新、动态、架构、云技术、算法、后端、前端、收听/收看、英文、书籍、影视、好歌、新奇)[含泪总结.. 憋泪分享!]
纽雪澳诺加海美德的博客
03-28 5548
开篇词 大家好!以下是我在 2020 年 2 月 1 日至 29 日的所见、所闻、所学和所悟。 现在,我把它们安利给你们。   定期更新 原创专栏: 一文搞定 Linux 管理员手册:既简单又深刻 官方授权: Baeldung Java 周评 符合官方许可: Spring 官方指南   动态 在我的《一文搞定》系列专栏里新增了: 《xxxx》 从我的英...
21条最好实践,从实际全面保障 GitHub 使用安全,你必须要知道的哦
m0_57042151的博客
08-04 375
但根据北卡罗来纳州立大学的一项研究,对超过一百万个 GitHub 帐户进行为期六个月的连续扫描显示,包含用户名、密码、API 令牌、数据库快照、加密密钥和配置文件的文本字符串,是可以通过 GitHub 公开访问的。此文件的目的是正式记录与安全相关的流程和程序,包括漏洞报告、机密性要求、加密标准、令牌可访问性、电子邮件地址的使用、HTTPS 要求、云的使用、CDN、备份、身份验证要求的过程以及数据完整性维护过程。但是私有仓库不提供相同级别的保护和加密的保管库,也不提供对可访问性轮换的相同程度的控制。...
21条最佳实践,全面保障 GitHub 使用安全
m0_62051288的博客
08-04 417
GitHub 是开发人员工作流程中不可或缺的一部分。无论你去哪个企业或开发团队,GitHub 都以某种形式存在。它被超过8300万开发人员,400万个组织和托管超过2亿个存储库使用。GitHub 是世界上最大的源代码托管服务平台。GitHub 的使用便利与强大支持巩固了其在市场中的主导地位。GitHub 用户群体包罗万象,从业余小白到专业人士,从个人用户到大型企业组织,都在使用 GitHub。使用 GitHub 就无需考虑安全吗? GitHub 提供了许多工具和存储库设置防止数据泄露。但产生安全问题的根本原
GitHub中超过3.5万开源代码被投毒
ZL_1618的博客
08-17 284
8月3日13时,名为 Stephen Lacy 的工程师在 Twitter 中表示其发现 GitHub中大量仓库被加入了恶意代码,感染文件超过3.5万,涉及 Go 代码、NPM 安装脚本、容器镜像配置等内容。被感染的仓库大多数处在长期不维护的状态,star 和 fork 数量基本为0恶意代码在最早在2019年已经提交进部分仓库,不少仓库是在最近10天左右被感染信息收集和控制指令的服务地址位于俄罗斯15时许,GitHub 开始对受影响仓库进行清理,当前受影响仓库已经全部无法访问。
源码泄露汇总
qq_43691308的博客
03-18 480
1、【.git】 网站维护开发人员 ,在从托管网站将源码下载到服务器后未及时将.git文件即使删除的话 那么攻击者就可以将其下载,然后通过这个文件可能获取到敏感信息。说的直白一点就是和我们搭建CMS环境时通过网上下载该CMS源码一样 工具:https://github.com/lijiejie/GitHack 2、【Mercurial/hg】 Mercurial 是一个小型但强大的分布式 VCS ...
你的代码放在 GitHub 上,真的安全吗?
qq_39620532的博客
03-22 4050
受俄乌冲突的影响,GitHub 目前正在考虑限制俄罗斯开发人员访问开源代码存储库的可能性。无独有偶,早在 2019 年,GitHub 就曾经因为美国出台贸易制裁国家名单,对名单上的国家/地区的用户进行过 “封杀”。 2019 年 7 月,微软旗下的 GitHub“限制” 住在乌克兰克里米亚地区的一名开发人员的帐户。这名开发人员利用 GitHub 服务来托管其网站和游戏软件。 GitHub 告诉住在克里米亚的 21 岁俄罗斯公民 Anatoliy Kashkin,“由于美国贸易管制”,GitHub“限
GitHub 源代码泄露了...
静觅
11-08 1045
“ 阅读本文大概需要 4 分钟。 ” 来自量子位GitHub 忽然 “开源” 了自己代码的一部分,还将它放在了 GitHub 上。事件起因是这样的:TypeScript 的开发者 Res...
GitHub如何进行代码托管?
04-25
GitHub是一个非常流行的代码托管平台,可以帮助开发者管理和分享代码。下面是GitHub进行代码托管的步骤[^1][^2]: 1. 创建远程库:在GitHub上创建一个新的远程库,点击页面右上角的"New"按钮,填写库的名称和描述,然后点击"Create repository"按钮。 2. 将本地库与远程库关联:在本地的Git控制台执行以下命令,将远程库的URL与本地库关联起来: ```shell $ git remote add origin 远程库的URL ``` 这里的origin是远程库的别名,可以根据需要自定义。 3. 将本地代码推送到远程库:在本地的Git控制台执行以下命令,将本地代码推送到远程库: ```shell $ git push -u origin master ``` 这里的origin是远程库的别名,master是本地分支的名称。 4. 查看远程库:在Git控制台执行以下命令,查看远程库是否关联成功: ```shell $ git remote -v ``` 这里会显示关联的远程库的URL。 以上是GitHub进行代码托管的基本步骤。你可以按照这些步骤将你的代码托管到GitHub上。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值