GitHub 源代碼泄漏，CEO迴應

導讀： CEO：一 切都很好，狀況如常。

文章來源：奇安信代碼衛士

TypeScript的開發者Resynth 發佈題爲《GitHub 源代碼泄漏》的文章指出，GitHub.com 的全部源代碼被公開。

（泄漏者在 Readme 中指出，文檔包括平常開發等內容如數據庫遷移和測試。歷史文檔中包括 dotcom 開發人員和代碼如何組織運轉如開始、進程和理念以及技術棧。https://web.archive.org/web/20201104050026if_/https://github.com/github/dmca/tree/565ece486c7c1652754d7b6d2b5ed9cb4097f9d5）

GitHub 源代碼疑遭泄漏

以下是博客全文：

在一個向 GitHub 官方 DMCA 倉庫提交的可疑 commit 中，一名身份不明的人員利用 GitHub 應用程序中的一個 bug 假冒GitHub CEO Nat Friedman的身份，上傳了機密的源代碼。

長久以來，GitHub 一直由於未公開源代碼而飽受詬病。GitHub 託管着數百萬個開源項目，批評人士認爲從某種程度來看 GitHub 是虛僞的。

然而，此次事件引起人們對 GitHub 源代碼安全的關注，以及若是 GitHub 真的公開源代碼，那麼它是否會所以而受損。有人認爲這將損害 GitHub 的總體安全性，這種說法多是正確的。通常而言，閉源應用程序執行的是「隱蔽式安全 (security by obscurity)」，即源代碼是隱藏的，目的是下降安全風險。

自2018年收購 GitHub 後，微軟一再強調其對開源的「愛」。咱們能夠從不少商業廣告中不斷聽到這種言論，它的目的是讓微軟處於開源發展的最前沿。

但一些用戶如 Drew DeVault 認爲微軟此舉試圖在審查開源。經過閉源應用程序以及 Git 的專有擴展，GitHub 被視做試圖包含開源的平臺。例如，GitHub 宕機兩小時會致使數千個開源項目沒法訪問以及變得不穩定。

從不少方面來看，GitHub 堪稱開源開發界的谷歌。

或許，GitHub 在12年以後終於向公衆開放了源代碼；而這可能也是咱們所須要的。

CEO 澄清：GitHub 未被黑

GitHub 的 CEO Nat Friedman 在 Hacker News 上作出了迴應，以下是全文：

GitHub 並未被黑。幾個月前，咱們不慎將未脫敏/混淆的 GitHub Enterprise Server 源代碼發給了一些客戶。它和 github.com 共享了代碼。像其餘人說的那樣，GitHub 的不少部分是用 Ruby 編寫的。

Git 使冒用未簽名 commit 變得容易，所以咱們建議你們簽名 commit 並查找 GitHub 上是否有 「已驗證「 標籤，確保一切按預期執行。

至於倉庫假冒問題，敬請關注。目前咱們正在致力於讓你們查看孤兒文檔 (orphaned commit) 時使它變得更顯眼。

一言以蔽之：一切都很好，狀況如常，雲雀正準備起飛，蝸牛爬行於荊棘，世界正常運轉。

GitHub & 開源 & 安全

這件事在社交平臺上引起關注。

有人認爲，光有綠色的「已驗證」提示是不夠的，須要爲不具備 PGP 密鑰的用戶添加紅色的「未驗證」提示。或者在資料中添加一個勾選框如「特殊標記未簽名 commit」 或者甚至是」個人帳戶與未簽名 commit 無關「等。

有人表示，儘管作出了澄清，但因爲 GitHub 是閉源的，所以這起事件仍然可定性爲「泄漏「。既然源代碼如此容易獲取，GitHub 源代碼爲什麼不開源的問題？有人認爲，源代碼開源與其運行專有 SaaS 的商業模型不符。GitHub 是一家公司而不是社區項目，開源不會得到任何好處，所以不會這麼作。開源會帶來不少隱造成本，閉源並不是魔鬼，而用戶能夠選擇其它開源 git 託管平臺。也有人反問，爲何全部一切都須要開源呢？若是開源能夠帶來附加值則選擇開源。GitHub 不開源並不是由於某些祕方使它的源代碼具備特殊之處：Gitlab 複製了 GitHub 的多數功能，而不少其它開源託管平臺也是如此。GitHub 的價值在於分享思想，而非代碼層面的東西。

也有人猜想，GitHub 源代碼泄漏事件和前不久發生的 youtube-dl 遭 GitHub 下架有關。Youtube-dl 是一款頗受歡迎的 Youtube 視頻下載命令行工具，未下架以前在 GitHub 排名第六，得到的 Star 超過7萬。該工具遭各大視頻平臺的強力抵制，GitHub 按照 DMCA （《數字千年版權法》）規定將其降低，但引起用戶的強烈抵制。

我將本身的原創文章整理成了一本電子書，取名《Python修煉之道》，一共 400 頁，17w+ 字，目錄以下：


如今免費送給你們，在個人公衆號後臺回覆 修煉之道 便可獲取。

最後我最近建了一個讀者交流羣，想加入的能夠在公衆號後臺回覆「加羣」便可～

    
        
        
         
         
                  
         
    
        

     
         
         
          
          
                   
          
     
         推薦閱讀：
    
        
        
         
         
                  
         
    
        
    
        
        
         
         
                  
         
    
        

     
         
         
          
          
                   
          
     
         爆肝整理 400 頁 《Python 修煉之道》，高清電子書送給一直支持個人讀者！
    
        
        
         
         
                  
         
    
        
    
        
        
         
         
                  
         
    
        

     
         
         
          
          
                   
          
     
         GitHub 標星 1.6w+，程序員不得不知的「潛規則」又火了！
     
         
         
          
          
                   
          
     
         

    
        
        
         
         
                  
         
    
        
    
        
        
         
         
                  
         
    
        

     
         
         
          
          
                   
          
     
         打臉！這款百度的產品，良心的很不百度
     
         
         
          
          
                   
          
     
         

    
        
        
         
         
                  
         
    
        
    
        
        
         
         
                  
         
    
        

     
         
         
          
          
                   
          
     
         真香！我挖到了一款超級強大的 SQL 工具！
     
         
         
          
          
                   
          
     
         

    
        
        
         
         
                  
         
    
        
    
        
        
         
         
                  
         
    
        

     
         
         
          
          
                   
          
     
         這個插件，牛逼！
     
         
         
          
          
                   
          
     
         

    
        
        
         
         
                  
         
    
        

👆掃描上方二維碼便可關注

本文分享自微信公衆號 - Python空間（Devtogether）。
若有侵權，請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」，歡迎正在閱讀的你也加入，一塊兒分享。