GitHub源代碼泄露，CEO回應(yīng)：這是個意外

今天， TypeScript 開發(fā)者 Resynth 發(fā)文稱，代碼托管服務(wù) GitHub 的全部源代碼被泄露。他表示，在向官方 GitHub DMCA 提交的可疑文件中，一個身份不明的人利用 GitHub 應(yīng)用程序中的一個漏洞冒充 GitHub CEO Nat Friedman 上傳了機密源代碼。

疑似泄露代碼地址：

隨后，Nat Friedman 迅速在 Hackernews 的帖子上做了回復(fù)。他表示 GitHub 沒有被黑客入侵，一切都很正常。所謂泄露的代碼是幾個月前他們意外地將 GitHub Enterprise Server 源代碼未脫敏 / 混淆的 tarball 交付給了一些客戶。

有開發(fā)者指出，此次泄露事件與 GitHub 上周下架 youtube-dl 和后續(xù)一系列動作有關(guān)，開發(fā)者用這種方式來進行抗爭。

上周五，在應(yīng)美國唱片業(yè)協(xié)會（RIAA）的要求下， GitHub 下架了平臺上最受歡迎的項目之一：下載器項目 YouTube-dl ?。但 RIAA 的禁令起到了相反的效果，很多開發(fā)人員開始對此表示抗議，并發(fā)布了更多代碼副本。事件發(fā)生以前，在 GitHub 上搜索 Youtube-dl 相關(guān)的項目只有 20 多個，而現(xiàn)在至少能搜出 4100 多個。

其實對于 GitHub 來說，封禁項目不是什么新鮮事。

去年 5 月，GitHub 更新了用戶協(xié)議，表明 GitHub 的產(chǎn)品和服務(wù)適用于美國出口管制法律。當年 7 月起，GitHub 基于美國出口管理條例，開始對伊朗、敘利亞和克里米亞的私人 repo 和付費賬戶實施限制。

從克里米亞地區(qū)的俄羅斯籍開發(fā)者到全部伊朗境內(nèi)開發(fā)者再到定居芬蘭的伊朗籍開發(fā)者，統(tǒng)統(tǒng)遭遇了賬號被封無法創(chuàng)建私有庫、已經(jīng)創(chuàng)建的私有庫被關(guān)閉等問題。而這些開發(fā)者并未得到 GitHub 提前通知，沒有任何緩沖備份的時間。

今年 3 月份，GitHub 封禁了一個屬于微軟的前端開源項目 Aurelia，理由是項目中有兩名來自伊朗的外部貢獻者。Aurelia 是微軟開發(fā)的 JavaScript 框架，已開源了 5 年。

這再次引發(fā)了開發(fā)者們的質(zhì)疑：GitHub 封禁項目是否太隨意？這難道不是與開源精神背道而馳？

事件不斷發(fā)酵，GitHub CEO 不得不對此事進行道歉：關(guān)閉此帳戶顯然是一個可怕的錯誤。我們正在調(diào)查具體過程，并更改規(guī)則以確保此類問題不會再次發(fā)生。當然這一聲明并沒有阻止封禁事件的再次發(fā)生。

此事也引發(fā)了后續(xù)的一個討論：GitHub 上的技術(shù)是各國志愿者撰寫并無償分享，并非美國購買有著作權(quán)的所有物，美國無權(quán)拿不屬于自己的東西制裁別人甚至“拿伊朗的技術(shù)制裁伊朗”。GitHub 最后在爭議下覺得有所理虧而改變作法，被封禁的用戶可以下載回自己的作品，但依然不能在社區(qū)里查看代碼。

但無數(shù)開發(fā)者已經(jīng)深刻的意識到，被微軟收購后的 GitHub 說到底還是一家美國企業(yè)。開源雖然無國界，但 GitHub 卻是有國界的。有趣的是，GitHub 今年初發(fā)布的《八度宇宙狀態(tài)》報告顯示，截止 2019 年，GitHub 上共有 4000 萬名開發(fā)者，而 80％的代碼貢獻者來自美國以外的地區(qū)。

“GitHub 本身不是開源的，這使我永遠不滿意?！庇虚_發(fā)者表示。

這次 GitHub 源代碼疑似泄露事件，刺激了開發(fā)者對 GitHub 的討論：既然源代碼如此容易就可以獲得，為什么 GitHub 不開源？

大家將 GitHub 不開源的原因歸結(jié)到其本質(zhì)上是一家商業(yè)公司。GitHub 的主要目標客戶是企業(yè)，他們關(guān)心合法性。獲取非法源代碼很容易，他們的客戶不會冒這個險。同時，如果 GitHub 只是轉(zhuǎn)儲了代碼庫但對錯誤報告響應(yīng)很慢，那將很不利于他們的公關(guān)形象。開源不僅需要源代碼，還需要更多。

被封禁賬戶的俄羅斯研發(fā)人員 Nikolay 表示：“GitHub 雖然是一個開源社區(qū)，但更是一個商業(yè)公司。對外形象和求穩(wěn)才是他們真正在意的吧。只要有人施壓，他們可以輕易處置任何人?！?/p>

也有支持者認為，GitHub 的價值在于分享思想，而不是任何明智的代碼。一直以來，GitHub 都是托管開源項目的最佳選擇，但自從被微軟收購后，它一直無法擺脫商業(yè)公司的標簽。

獵豹移動董事長兼 CEO 傅盛曾在一次演講中說：你把一個 App 放在網(wǎng)絡(luò)上，可以讓幾十億人下載，讓全世界的人知道你。時過境遷，谷歌、蘋果、Facebook 這樣超大平臺的出現(xiàn)，使得事情又走向了另一個極端。當涉及到各種商業(yè)利益和社會因素的時候，它們同樣可以在一天內(nèi)讓幾十億的用戶完全接觸不到你，讓你建立的基業(yè)瞬間湮滅——這就是壟斷平臺的力量。

這句話放在 GitHub 身上，同樣適用。

從 2008 年正式上線至今，GitHub ? ?已經(jīng)成為全球最大的社交編程及代碼托管網(wǎng)站，但最受歡迎并不代表全部。GitHub 自身也會面臨很多外部問題。

2013 年 1 月，GitHub 突然疑似遭遇 DDOS 攻擊，訪問大幅放緩。經(jīng)過網(wǎng)站管理員查詢?nèi)罩景l(fā)現(xiàn)，是來自 12306 的搶票插件用戶洪水般的訪問導(dǎo)致 GitHub 出現(xiàn)問題。2019 年 5 月，《個人電腦雜志》網(wǎng)站報道，GitHub 遭到一名黑客入侵。據(jù)稱，這名黑客先擦除代碼資源庫，然后作為恢復(fù)數(shù)據(jù)的交換向用戶所要贖金。

最近，Github 被發(fā)現(xiàn)存在一個高危漏洞，基本上所有擁有復(fù)雜 Github Actions 的項目都容易被攻擊。這讓 Github 的安全性也遭到質(zhì)疑。

GitHub 能夠跟開源劃等號嗎？肯定不能。

延伸閱讀：

https://resynth1943.net/articles/github-source-code-leak/

喜歡本文的朋友，歡迎關(guān)注公眾號?程序員小灰，收看更多精彩內(nèi)容

       

        

         

          

           

            

             

              
             
             

              點個[在看]，是對小灰最大的支持！