重磅!GitHub 全部源代码被泄露?

最新推荐文章于 2023-09-05 16:23:30 发布
最新推荐文章于 2023-09-05 16:23:30 发布
阅读量1.3k 收藏
点赞数
文章标签: github 微软 编程语言 安全 android模拟器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/j3T9Z7H/article/details/111243487
版权
美国KeyBank因内部分析能力限制转向云存储,银行行业亦在考虑跟进。然而,GitHub近期发生源代码泄露事件,疑似由于Git提交漏洞导致。尽管GitHub官方回应称处于可控范围,但用户对先前报告的漏洞处理不力表示不满,引发社区讨论。此事件引发了关于云存储安全性的担忧和GitHub管理问题的质疑。
摘要由CSDN通过智能技术生成

点击上方蓝色“程序猿DD”,选择“设为星标”

回复“资源”获取独家整理的学习资料!

前言

由于内部分析基础设施的容量已达到极限,总部设于俄亥俄州克利夫兰市的美国KeyBank银行于今年开始转向云分析计算,同时随着云存储技术的发展,越来越多的银行开始考虑将客户数据迁移至云端存储。专家预计这将减少银行75%空间和成本!

云存储真的安全吗?

我突然想起最近各个技术网站上热议的一件事情:“GitHub全部源代码泄露!”

这里所说的源代码,并非我们广大用户存储在GitHub上的开源代码,而是指GitHub,其本身自己的代码!!!

甚至有调皮的网页第一时间发文表示 “GitHub把自己开源了!”

这件事情是怎么被发现的呢?我们要感谢TypeScript的开发者Resynth大神,敢于揭露事情的真相。

他在自己的博文中宣布了此事,按照他的说法,他发现一些非常可疑的提交,这些提交的备注是:“felt cute, might put gh source code on dmca repo now idk”

似乎是一个身份不明的人冒充GitHub CEO 纳特·弗里德曼(Nat Friedman)利用 GitHub 应用程序中的漏洞bug,上传了机密源代码。

这些代码包括 linting 配置、CI 工作流、Dockerfiles 和其他与构建相关的配置文件,以及"This is GitHub.com and GitHub Enterprise."的文案。

事件暴露之后引起广大开发者的热议,因为有一部分开发者早在很久以前就反馈过类似的程序隐患,但一直没有引起官方重视及回复。按网友的说法,微软似乎从来不承认这些问题的存在

我们先来简单了解下这个安全漏洞是怎么一回事。

GitHub 的源代码管理器 Git,提交方式比较像电子邮件,允许用户随意填写用户名及邮箱地址。所以,任何人大可以用GitHub CEO 纳特·弗里德曼(Nat Friedman)的名字进行提交,官方完全不会确认是否真的是其本人,除非当提交信息中包含其密钥签名。这次出问题的这些提交,恰巧就是没有密钥签名的。

而真正让网友炸锅的,是随后,真·GitHub CEO 纳特·弗里德曼(Nat Friedman) 做的回应。

他表示“GitHub 并没有被黑客入侵,一切依旧正常。所谓泄露的代码是几个月前他们不小地将 GitHub Enterprise Server 上一些没有脱密的源代码交付给了一些客户,但一切处于可控范围,不会影响大家的安全。”

看到这里,真的瞬间想起国内一些当红流量小生在粉丝闹事情况下糟糕的危机公关,真的很想问一句GitHub“你们没有专门的公关团队吗?这样就觉得可以糊弄过去?

因为之前一些用户已经反馈过GitHub的代码管理系统早已存在的多项Bug,官方的一直不作为,再加上敷衍了事的态度,似乎更激起了大家针对GitHub本身的不满情绪。

例如:

网友 exabrial:您认为这是正常情况?那你们是不是还想通过伪造无效的 DCMA,删掉其他的什么项目?

CEO 弗里德曼:这边建议您阅读 DCMA 工作原理呢。(不由自主脑补了他说这一段话时的傲慢脸)

网友 dannyw:如果 GitHub 真的提倡开源,它就不会是现在这样。微软可是 RIAA 的成员!(GitHub 前段时间应 RIAA 的要求,直接删除了 GitHub 上开源的油管视频下载器 Youtube-dl,引起了广大开发者不满,也有人认为就是有人为了Youtube-dl事件报复微软才泄露的本次代码)

正所谓不作不死,这一下子还有人发现:GitHub 最初删掉的相关项目只有 18 个,而现在竟然变成了 4000 多个! 天知道都是些什么内容,藏着什么黑幕!

自从2018年微软收购了GitHub 之后,GitHub 的开源就开始逐渐变了味道,虽然微软官方的口径一直是鼓励开源,但是实际上已经不止一次封印了一些社区的开源代码,具体原因,我们只能呵呵了。

此时此刻想起了Ensemble Studios,可能很多人不知道它是什么,但说起帝国时代,应该80后都知道。Ensemble Studios就是帝国时代的制作工作室,成立于1995年,于2001年被微软收入麾下,然后又在2008年9月被微软关闭。用他们的员工的话说就是“微软是一家上市公司,他们只对他们的股东负责。”希望同样的事情,不要出现在GitHub 身上。

你怎么看这件事呢?欢迎留言讨论!

DD自研的沪牌代拍业务,点击直达

【往期推荐】

这本空降京东当当新书榜TOP1的“算法小抄”是什么来头?

2020-12-14

Redis 的 8 大数据类型,写得非常好!

2020-12-14

Spring Boot 的2020最后一击:2.4.1、2.3.7、2.2.12 发布

2020-12-13

排名前 16 的 Java 工具类,哪个你没用过?

2020-12-13

GitHub 推出 2020 宇宙新功能:Dark Mode!从此深夜搞开源不再被亮瞎了!

2020-12-12

基于 Token 的多平台身份认证架构设计

2020-12-12

扫一扫,关注我

一起学习,一起进步

每周赠书,福利不断

深度内容

推荐加入

欢迎加入知识星球,一起探讨技术架构,交流技术人生。

加入方式,长按下方二维码:

已在知识星球更新如下:

素质二连,走一个

程序猿DD_
关注
视觉-语言大模型原理
07-28 62
在预训练阶段,Qwen-VL使用了一个大型的语言模型(LLM)作为基础组件,该模型的权重是从Qwen-7B模型中初始化的。此外,基于预训练的Qwen-7B,发布了Qwen-7B-Chat,这是一个基于大型模型的人工智能助手,通过对齐技术进行了训练。通过将Q-Former的输出连接到冻结的语言模型,并训练Q-Former使其输出的视觉表示可以被语言模型解释,从而实现视觉到语言的生成学习。在这个阶段,Qwen-VL的目标是通过最小化多个任务的损失函数来训练模型,以提高模型在各个任务上的性能。
云计算技术 — 云计算技术发展编年史
热门推荐
烟云的计算
10-31 1万+
目录 文章目录目录虚拟化的发展进程硬件仿真虚拟化完全虚拟化半虚拟化操作系统虚拟化 虚拟化的发展进程 1959 年,克里斯托弗(Christopher Strachey)在国际信息处理大会(International Conference on Information Processing)上发表了一篇名为《大型高速计算机中的时间共享》(Time Sharing in Large Fast Comp...
GitMAD:用于发现Github上的敏感信息和数据泄漏的工具
systemino的博客
08-01 1086
GitMAD是一个用于发现Github上的敏感信息和数据泄漏的工具。通过给定关键字或域,GitMAD便会搜索Github上托管的代码,以查找是否存在匹配项。一旦找到了匹配项,GitMAD将克隆存储库并在文件中搜索一系列可配置的正则表达式。然后,GitMAD会获取这些结果,并将它们插入到数据库中供后续的查看使用。这些结果也可作为邮件警报发送。另外,GitMAD将持续运行以发现与输入关键字匹配的新存储...
Tata开发人员将银行代码泄露至公共GitHub代码
weixin_34395205的博客
07-04 366
食品安全测试企业Tellspec公司CTO兼前银行软件开发者杰森·科尔斯表示,他们在偶然之间发现由位于印度加尔各答的软件开发商Tata公司的员工在公共GitHub代码库当中上传大量涉及金融机构的源代码与内部文件。在归档文件当中,他们发现了开发笔记、原始源代码、Web银行代码开发规划内部报告以及与各外包合作伙伴间的往来通话记录。 10家金融单位受影响这些...
微软 GitHub 私有仓库疑被黑,黑客称偷了63.2 GB 源码
redditnote的博客
05-08 1320
(给技术最前线加星标,每天看技术热点)原创:技术最前线(ID:TopITNews)参考:BleepingComputer、mspoweruser微软 GitHub 私有仓库疑被黑,黑客称...
程序员大本营GitHub遭黑客劫持,是时候认真聊聊开源代码安全
脑极体
05-06 1863
著名的“交友网站”GitHub是程序员的“大本营”,很多人都将源代码托管在上面,并不断利用社区开源资源开发新的算法、软件、应用。这样一个极客云集的平台,居然被黑客给一窝端...
如何防止企业的数据和机密从GitHub存储库泄露
ksy_com的博客
06-17 281
研究表明,网络攻击者不断在GitHub等公共代码存储库中搜索开发人员可能留下的秘密,任何微小的错误都可能被他们利用。安全研究员Craig Hays在疫情期间进行了一个实验。他将其SSH用户名和密码泄露GitHub存储库中,看看是否有网络攻击者可能会找到它。他认为可能需要等待几天才会有人注意到。事实证明更加残酷,第一次未经授权的登录发生在其泄露用户名和密码之后的34分钟内。他说:“对我来说,最让我大开眼界的是它被利用的速度有多快。”在最初的24小时内,六个不同的IP地址9次登录他的帐号。一名网络攻击者试图安
Spring Boot 2.4 对多环境配置的支持更改
程序猿DD
12-17 1387
在目前最新的Spring Boot 2.4版本中,对配置的加载机制做了较大的调整。相关的问题最近也被问的比较多,所以今天就花点时间,给大家讲讲Spring Boot 2.4的多环境配置较...
栋的月结 | 第二回合(定期更新、动态、架构、云技术、算法、后端、前端、收听/收看、英文、书籍、影视、好歌、新奇)[含泪总结.. 憋泪分享!]
纽雪澳诺加海美德的博客
03-28 5554
开篇词 大家好!以下是我在 2020 年 2 月 1 日至 29 日的所见、所闻、所学和所悟。 现在,我把它们安利给你们。   定期更新 原创专栏: 一文搞定 Linux 管理员手册:既简单又深刻 官方授权: Baeldung Java 周评 符合官方许可: Spring 官方指南   动态 在我的《一文搞定》系列专栏里新增了: 《xxxx》 从我的英...
21条最好实践,从实际全面保障 GitHub 使用安全,你必须要知道的哦
m0_57042151的博客
08-04 376
但根据北卡罗来纳州立大学的一项研究,对超过一百万个 GitHub 帐户进行为期六个月的连续扫描显示,包含用户名、密码、API 令牌、数据库快照、加密密钥和配置文件的文本字符串,是可以通过 GitHub 公开访问的。此文件的目的是正式记录与安全相关的流程和程序,包括漏洞报告、机密性要求、加密标准、令牌可访问性、电子邮件地址的使用、HTTPS 要求、云的使用、CDN、备份、身份验证要求的过程以及数据完整性维护过程。但是私有仓库不提供相同级别的保护和加密的保管库,也不提供对可访问性轮换的相同程度的控制。...
github-dorks:通过github搜索找到泄露的秘密
02-03
Github Dorks 是一个非常强大且有用的功能,可用于在存储库中搜索敏感数据。 Github服务对象的集合可以揭示敏感的个人和/或组织信息,例如私钥,凭据,身份验证令牌等。此列表应该用于评估系统的安全性和进行笔测试。 GitHub Dork搜索工具 是一个简单的python工具,可以搜索您的存储库或组织/用户存储库。 目前,它并不是一个完美的工具,但提供了基本功能,可以根据文本文件中指定的代码自动在存储库中进行搜索。 安装 该工具使用与GitHub Search API进行通信。 克隆此存储库并运行: pip install -r requirements.txt 用法 GH_USER - Environment variable to specify Github user GH_PWD - Environment variable to specify password GH_TOKEN - Environment variable to specify Github token GH_URL - Environment variable to specify
天龙八部源码 完整版 c++
07-03
天龙八部源码 完整版 c++ 包含第一、二部源码
21条最佳实践,全面保障 GitHub 使用安全
m0_62051288的博客
08-04 418
GitHub 是开发人员工作流程中不可或缺的一部分。无论你去哪个企业或开发团队,GitHub 都以某种形式存在。它被超过8300万开发人员,400万个组织和托管超过2亿个存储库使用。GitHub 是世界上最大的源代码托管服务平台。GitHub 的使用便利与强大支持巩固了其在市场中的主导地位。GitHub 用户群体包罗万象,从业余小白到专业人士,从个人用户到大型企业组织,都在使用 GitHub。使用 GitHub 就无需考虑安全吗? GitHub 提供了许多工具和存储库设置防止数据泄露。但产生安全问题的根本原
GitHub中超过3.5万开源代码被投毒
ZL_1618的博客
08-17 287
8月3日13时,名为 Stephen Lacy 的工程师在 Twitter 中表示其发现 GitHub中大量仓库被加入了恶意代码,感染文件超过3.5万,涉及 Go 代码、NPM 安装脚本、容器镜像配置等内容。被感染的仓库大多数处在长期不维护的状态,star 和 fork 数量基本为0恶意代码在最早在2019年已经提交进部分仓库,不少仓库是在最近10天左右被感染信息收集和控制指令的服务地址位于俄罗斯15时许,GitHub 开始对受影响仓库进行清理,当前受影响仓库已经全部无法访问。
网络信息安全GitHub敏感信息泄露监控-徐庆臣(黑客洗白者)
清晨码农的专栏
09-05 514
结合管理和技术手段杜绝GitHub敏感信息泄露问题,做到近实时监控预警。分享开发GitHub敏感信息监控过程中的特征采集、最佳告警响应方式、误报规则类型、漏报处理思路以及整体GitHub敏感信息泄露的现状等等一些经验。
github源码泄露总结
王嘟嘟的博客
04-08 3624
0x00 前言 github源码泄露可能泄露的内容。 0x01 实战github搜索方法 1.关键字 www.xxxx.com 这里就可以搜索xxxx或者与xxxx相关的短语 2.in:file 文件内容搜索 xxxx 邮箱 in:file 0x02 实战 https://shuimugan.com/bug/view?bug_no=141792 https://shuimugan.com/bug...
敏感信息泄露搜索之GitHub
qq_60115503的博客
05-12 2484
众所周知,当今是大数据时代,大规模数据泄露事情一直在发生,从未停止过,但有些人不知道的是很多时候一些敏感信息的泄露其实是我们自己无意中造成的,然而一个小疏忽,往往却造成一系列连锁反应…… Github上敏感信息的泄露,就是一个典型的例子,Github虽然方便开发者,但其中也埋藏着一些安全隐患。
GitHub 源代码泄露了...
静觅
11-08 1045
“ 阅读本文大概需要 4 分钟。 ” 来自量子位GitHub 忽然 “开源” 了自己代码的一部分,还将它放在了 GitHub 上。事件起因是这样的:TypeScript 的开发者 Res...
多名微软员工在GitHub 上不慎泄露公司的内部登录凭据
smellycat000的专栏
08-19 323
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全公司spiderSilk发现,疑似多名微软员工将公司的基础设施的敏感登录凭据暴露在 GitHub 上,可能导致攻击者攻陷微软内部系统。微软证实了这起数据泄露事件。SpiderSilk公司的研究指出,“我们仍看到偶发的源代码和凭据泄露是企业攻击面的一部分,及时准确地识别它们变得越来越难。这对于当前多数企业而言是一个非常具有挑战性的问题。”该...
GitHub如何进行代码托管?
最新发布
04-25
GitHub是一个非常流行的代码托管平台,可以帮助开发者管理和分享代码。下面是GitHub进行代码托管的步骤[^1][^2]: 1. 创建远程库:在GitHub上创建一个新的远程库,点击页面右上角的"New"按钮,填写库的名称和描述,然后点击"Create repository"按钮。 2. 将本地库与远程库关联:在本地的Git控制台执行以下命令,将远程库的URL与本地库关联起来: ```shell $ git remote add origin 远程库的URL ``` 这里的origin是远程库的别名,可以根据需要自定义。 3. 将本地代码推送到远程库:在本地的Git控制台执行以下命令,将本地代码推送到远程库: ```shell $ git push -u origin master ``` 这里的origin是远程库的别名,master是本地分支的名称。 4. 查看远程库:在Git控制台执行以下命令,查看远程库是否关联成功: ```shell $ git remote -v ``` 这里会显示关联的远程库的URL。 以上是GitHub进行代码托管的基本步骤。你可以按照这些步骤将你的代码托管到GitHub上。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值