前言
由于内部分析基础设施的容量已达到极限,总部设于俄亥俄州克利夫兰市的美国KeyBank银行于今年开始转向云分析计算,同时随着云存储技术的发展,越来越多的银行开始考虑将客户数据迁移至云端存储。专家预计这将减少银行75%空间和成本!
但云存储真的安全吗?
我突然想起最近各个技术网站上热议的一件事情:“GitHub全部源代码泄露!”
这里所说的源代码,并非我们广大用户存储在GitHub上的开源代码,而是指GitHub,其本身自己的代码!!!
甚至有调皮的网页第一时间发文表示 “GitHub把自己开源了!”
这件事情是怎么被发现的呢?我们要感谢TypeScript的开发者Resynth大神,敢于揭露事情的真相。
他在自己的博文中宣布了此事,按照他的说法,他发现一些非常可疑的提交,这些提交的备注是:“felt cute, might put gh source code on dmca repo now idk”。
似乎是一个身份不明的人冒充GitHub CEO 纳特·弗里德曼(Nat Friedman)利用 GitHub 应用程序中的漏洞bug,上传了机密源代码。
这些代码包括 linting 配置、CI 工作流、Dockerfiles 和其他与构建相关的配置文件,以及"This is GitHub.com and GitHub Enterprise."的文案。
事件暴露之后引起广大开发者的热议,因为有一部分开发者早在很久以前就反馈过类似的程序隐患,但一直没有引起官方重视及回复。按网友的说法,微软似乎从来不承认这些问题的存在。
我们先来简单了解下这个安全漏洞是怎么一回事。
GitHub 的源代码管理器 Git,提交方式比较像电子邮件,允许用户随意填写用户名及邮箱地址。所以,任何人大可以用GitHub CEO 纳特·弗里德曼(Nat Friedman)的名字进行提交,官方完全不会确认是否真的是其本人,除非当提交信息中包含其密钥签名。这次出问题的这些提交,恰巧就是没有密钥签名的。
而真正让网友炸锅的,是随后,真·GitHub CEO 纳特·弗里德曼(Nat Friedman) 做的回应。
他表示“GitHub 并没有被黑客入侵,一切依旧正常。所谓泄露的代码是几个月前他们不小地将 GitHub Enterprise Server 上一些没有脱密的源代码交付给了一些客户,但一切处于可控范围,不会影响大家的安全。”
看到这里,真的瞬间想起国内一些当红流量小生在粉丝闹事情况下糟糕的危机公关,真的很想问一句GitHub“你们没有专门的公关团队吗?这样就觉得可以糊弄过去?”
因为之前一些用户已经反馈过GitHub的代码管理系统早已存在的多项Bug,官方的一直不作为,再加上敷衍了事的态度,似乎更激起了大家针对GitHub本身的不满情绪。
例如:
网友 exabrial:您认为这是正常情况?那你们是不是还想通过伪造无效的 DCMA,删掉其他的什么项目?
CEO 弗里德曼:这边建议您阅读 DCMA 工作原理呢。(不由自主脑补了他说这一段话时的傲慢脸)
网友 dannyw:如果 GitHub 真的提倡开源,它就不会是现在这样。微软可是 RIAA 的成员!(GitHub 前段时间应 RIAA 的要求,直接删除了 GitHub 上开源的油管视频下载器 Youtube-dl,引起了广大开发者不满,也有人认为就是有人为了Youtube-dl事件报复微软才泄露的本次代码)
正所谓不作不死,这一下子还有人发现:GitHub 最初删掉的相关项目只有 18 个,而现在竟然变成了 4000 多个! 天知道都是些什么内容,藏着什么黑幕!
自从2018年微软收购了GitHub 之后,GitHub 的开源就开始逐渐变了味道,虽然微软官方的口径一直是鼓励开源,但是实际上已经不止一次封印了一些社区的开源代码,具体原因,我们只能呵呵了。
此时此刻想起了Ensemble Studios,可能很多人不知道它是什么,但说起帝国时代,应该80后都知道。Ensemble Studios就是帝国时代的制作工作室,成立于1995年,于2001年被微软收入麾下,然后又在2008年9月被微软关闭。用他们的员工的话说就是“微软是一家上市公司,他们只对他们的股东负责。”希望同样的事情,不要出现在GitHub 身上。