The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В сеть попали исходные коды GitHub и GitHub Enterprise (подтверждено)

04.11.2020 14:53

В репозитории github/dmca, где публикуются сообщения о нарушениях DMCA, были размещены исходные коды GitHub.com и GitHub Enterprise. Исходники были опубликованы 4 ноября в 3:51 UTC (6:51 MSK) со следующим сообщением: "felt cute, might put gh source code on dmca repo now idk". Данные опубликованы с привязкой к имени пользователя nat, которое пересекается с учётной записью Нэта Фридмэна (Nat Friedman), руководителя GitHub. Добавленные изменения уже удалены, но остались в архиве.

Вероятно код был присоединён к официальному репозиторию github/dmca при помощи техники, позволяющей представить любое стороннее изменение как изменение, уже включённое в другой проект. GitHub в целях оптимизации и исключения дубликатов хранит вместе все объекты из основного репозитория и форков, логически разделяя принадлежность коммитов. Подобное хранение позволяет просмотреть в основном репозитории любой коммит из любого форка, явно указав его хэш в URL. Например, пользователь может создать форк репозитория github/dmca и добавить в него любой код, после чего этот код станет доступен по прямой хэш-ссылке в репозитории github/dmca.

Напомним, что в мае в сети появились сведения о попытке продажи неизвестным содержимого приватных GitHub-репозиториев Microsoft. Неизвестный заявил, что смог загрузить около 500 ГБ данных из приватных репозиториев Microsoft, размещённых на GitHub, и предоставил в качестве доказательства скриншоты и 1 ГБ данных. Большинство аналитиков сочли доказательства неубедительными, так как скриншоты легко подделать, а в данных фигурировал какой-то бессмысленный набор файлов с текстом на китайском языке, тестами и отрывками кода. Один из инженеров Microsoft в комментарии заявил, что утечка вероятно является фейком, так как в Microsoft имеется правило, в соответствии с которым в приватных репозиториях на GitHub размещаются проекты, которые должны стать публичными в течение 30 дней.

Дополнение 1: Предположительно размещённый код представляет собой копию исходных текстов, извлечённых из образа виртуальной машины с GitHub Еnterprise, вариантом GitHub для предприятий, позволяющем развернуть окружение для совместной разработки внутри корпоративной сети на подконтрольном оборудовании.

Дополнение 2: Нэт Фридмэн подтвердил, что опубликованный код получен не в результате взлома, а извлечён из образа с GitHub Enterprise. По словам Фридмэна, несколько месяцев назад по ошибке некоторым клиентам был передан образ GitHub Enterprise, содержащий tar-архив с необфусцированными и неочищенными (с файлами конфигурации, docker-файлами и сборочными сценариями) исходными текстами GitHub Enterprise Server (код поставлялся и до этого, но в урезанном и нечитаемом виде). GitHub Enterprise построен на общей кодовой базе с github.com. Коммит от его имени является фиктивным и не был подписан (подписанные коммиты снабжаются меткой "verified", а через неподписанные любой может легко выдать себя за другого в своей локальной копии Git и затем загрузить новый репозиторий на GitHub).

  1. Главная ссылка к новости (https://web.archive.org/web/20...)
  2. OpenNews: Уязвимость в GitHub Actions, допускающая подстановку команд
  3. OpenNews: Проблемы с GitHub, возникшие из-за просроченного SSL-сертификата
  4. OpenNews: В GitHub устранена уязвимость, допускающая внедрение кода в любой репозиторий
  5. OpenNews: Уязвимость, позволяющая осуществить подстановку SQL-кода в GitHub Enterprise
  6. OpenNews: Особенность отображения проектов на GitHub создала видимость внедрения бэкдора в ядро Linux
Автор новости: Кто_Анонимус_Я_Анонимус
Тип: К сведению
Короткая ссылка: https://opennet.ru/54024-github
Ключевые слова: github
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (71) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.17, Эль (?), 16:47, 04/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Их сотню раз уже сливали же, они из виртуалки GitHub Enterprise достаются в два счёта. Да и в github/dmca «засунуть» произвольное содержимое несложно — форкаешь репозиторий, пушишь нужное содержимое, подставляешь хеш коммита в основной адрес и вот пожалуйста: https://github.com/github/dmca/tree/416da574ec0df3388f652e44f7fe71b1e3a4701f

    (Коммит от лица другого юзера сделать как известно проще простого — достаточно знать его e-mail. Я правда думал, что такие коммиты гитхаб не пропустит, но видимо это не так.)

     
     
  • 2.34, Аноним (34), 20:47, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А с чего бы ему их не пропускать? Это сделало бы невозможным заливку копий репозиториев где коммитило >1 человека)
     
  • 2.35, Аноним (35), 21:06, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    >Их сотню раз уже сливали же, они из виртуалки GitHub Enterprise достаются в два счёта.

    Что ещё раз напоминает о том, что GitHub как ПО - никому на хрен не нужный неуловимый Джо, впрочем, как и любое другое аналогичное ПО - почти нет желаеющих это держать и поддерживать, проще и дешевле использовать существующий GitHub.com / GitLab.com, не смотря на все их недостатки.

    Иными словами, для поделки Drew De Wault ниши на рынке нет, он прость до этого ещё не дошёл.

     
     
  • 3.38, steils (ok), 23:01, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • –7 +/
    > Иными словами, для поделки Drew De Wault ниши на рынке нет, он прость до этого ещё не дошёл.

    Сейчасъ sr.ht (если ты про него) считается альфа-версіей, и платная подписка не вліяетъ на возможности. При этомъ, по даннымъ на https://meta.sr.ht/billing , уже 11,39% изъ 18153 пользователей (~2067) имѣютъ платную подписку. Если даже предположить, что всѣ они имѣютъ минимальную подписку въ 2$, это уже выходитъ 4134$. Однако есть еще подписки за 5$ и 10$, поэтому итоговый доходъ еще больше.

    Ниша на рынкѣ, очевидно, есть.

     
     
  • 4.39, Аноним (39), 23:09, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > это уже выходитъ 4134$

    Круто! Можно нанять аж 1 программиста на фуллтайм

     
     
  • 5.40, пох. (?), 23:32, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А зачем им ЕЩЕ один? Вроде тот что есть и так пилит норм...

    Осталось уволить и получать проооофит.
    Кстати, ставки js-макак, каждый день переписывающих выпадающий список выбора веток, они сэкономили еще на старте.

    Так что нишка вполне есть, для тех у кого в проекте участвуют полтора васяна и шесть их воображаемых друзей.

    Для нормальной совместной работы с кодом эта хрень пригодна примерно никак (как, собственно, линукс, который они старательно косплеили)

     
  • 4.50, Аноним (50), 11:39, 05/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мицгол, это ты?
     
  • 4.55, annual slayer (?), 14:21, 05/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    интересно, как называется специалист для лечения твоего случая, логопед-историк?
     
  • 3.41, пох. (?), 23:52, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Вы кажется слишком сильно праздновали выборы Байдена Он еще не выбран, побереги... большой текст свёрнут, показать
     
     
  • 4.45, Аноним (45), 10:03, 05/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Вы кажется слишком сильно праздновали выборы Байдена.

    "Демократическая" партия хуже "республиканской". Но обе - сорта.

    >При этом даром его исходники и правда никому не нужны, потому что те кто платят за софт - платят за работающий софт, а не возможность самим всласть потрахаться.

    То есть платят именно за услугу, оказываемую с помощью софта, а не за софт. И с радостью готовы свалить все хлопоты, кроме оплаты, на специально обученных людей/ботов.

    >боюсь это только среди тебя и тех трех твоих друзей-васянов.

    Сами себе противоречите.

     
     
  • 5.48, пох. (?), 10:39, 05/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > То есть платят именно за услугу, оказываемую с помощью софта, а не за софт.

    "платят за услугу, оказываемую с помощью стула, а не стул". В некоторых специальных случаях - даже и платят.
    Но, как ни странно, продавец в мебельном магазине так не думает.

    Платят за софт. Как и за стулья. Не за набор пиломатериалов и лобзик, а за готовые изделия.
    Исходники, на которые вы так молитесь, никому на самом деле не нужны.

    > И с радостью готовы свалить все хлопоты, кроме оплаты, на специально обученных людей/ботов.

    Но раб должен сидеть на короткой цепи, иначе его можно не достать кнутом!
    Что и не позволяет окончательно свершиться мечте дЭффективного, когда вместо мерзких рабов будут сплошные художественные произведения и драгоценные ковры.

    Он бы, конечно и рад саутсорсить нахрен не то что какой-то непонятный гитшит, а всех бездельников которые вокруг него непонятные обряды проводят, но что-то ему подсказывает, что так пока не работает. Те, кому кукуху сорвало от успеха и это что-то перестало восприниматься всерьез - уже не эффективные, а банкроты в основном.

     
     
  • 6.60, Аноним (60), 07:30, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Не за набор пиломатериалов и лобзик, а за готовые изделия.

    В случае GitHub даже приведённый в рабочее состояние софт не является готовым решением. В отличие от стула. Стул обслуживания требует только тогда, когда сломался или загрязнился, а GitHub (и прочие веб-сервисы) - постоянно.

     
     
  • 7.69, пох. (?), 15:32, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Стул обслуживания требует только тогда, когда сломался или загрязнился, а GitHub (и прочие
    > веб-сервисы) - постоянно.

    тоже нет.
    Эпизодического - да.

    Ну, в принципе, можно и не обслуживать ни то, ни другое - ну япнешься со стула с разболтавшимися шпильками - да и хрен с ним, не завтра же еще, и даже не на этой неделе.

    А внутри - делать нечего. no user-servicable parts.

     
     
  • 8.73, Аноним (60), 15:12, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Раз в 5 лет ... текст свёрнут, показать
     
  • 4.56, microsoft (?), 14:54, 05/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А можно примеры этих отдельных тикетниц и код реве?
     
     
  • 5.70, пох. (?), 15:32, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    у тебя их полный бинг

     
  • 2.68, Аноним (68), 13:44, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Гитхаб стал открытым!
     

  • 1.20, Кто_Анонимус_Я_Анонимус (?), 17:04, 04/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Наверное, опубликовали не через учётную запись, а следующим образом:
    Заводится форк с левого аккаунта.
    Туда публикуются исходники, при этом выполняя махинации со свойствами коммита (см. https://habr.com/ru/post/515550/).
    Из-за архитектуры гитхаба любой из форков доступен по ссылке из главного репозитория (насколько я помню, что-то вроде https://github.com/repo/repo/tree/<commit_hash>).
    Отмечу, что при этом не нужен чужой аккаунт.
     
     
  • 2.44, blackflag (?), 02:50, 05/11/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А жаль. Было бы весьма забавно, если у этого возмущённого Нэта вдруг хватило бы духа напрямую высказаться против RIAA, DMCA, копирайта и софтверных патентов (так, заодно) и пинком выставить на улицу того сыплющего угрозами корпоративного юриста. А то и вовсе объявить о выходе гитхаба из состава Microsoft в одностороннем порядке. Да, такого и близко никто никогда не проворачивал, но должен же кто-то быть первым! Давай, Нэт, мы в тебя верим!
     

  • 1.1, Аноним (1), 15:54, 04/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Полностью разгромлены.
     
     
  • 2.13, Qwerty (??), 16:28, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Злорадствующие скачки объявляются открытыми!
     
  • 2.30, псевдонимус (?), 19:38, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Трах Тибидох тибидимидибидох!(с)

     
  • 2.67, Аноним (68), 13:43, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Гитхаб освободили. Теперь воистину опенсорс.
     

  • 1.2, Рейка Сметанова (ok), 15:54, 04/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Да гитхаб жжет на этой неделе, пусть в таком же успехе и продолжают обсеры.
     
     
  • 2.5, m.makhno (ok), 15:59, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ваш синтаксис просто разрывает мозг.
     
     
  • 3.31, Аноним (31), 20:04, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Главное - гармония смысла и содержания.
     

  • 1.3, m.makhno (ok), 15:54, 04/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Стек новостей о GitHub просто overflow.
     
  • 1.4, Аноним (4), 15:55, 04/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    жаба <-> гадюка ?
     
     
  • 2.6, пох. (?), 16:04, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А жаба-то где? Тут, по-моему, куда ни глянь - только гадюка.

     

  • 1.7, Аноним (7), 16:05, 04/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –10 +/
    >были размещены исходные коды GitHub.com

    ЛОЛ, он же итак опенсорс.. Что там выкладывать то

     
     
  • 2.8, муу (?), 16:09, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • +17 +/
    чиво? не, самая опенсорсная в мире платформа сама ни разу не опенсорс
     
     
  • 3.10, m.makhno (ok), 16:16, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот такая ня, малята.
     
  • 2.14, PHPoenX (ok), 16:37, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    GH никогда открытым не был
     
     
  • 3.19, Аноним (68), 16:52, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Теперь стал!
     

  • 1.9, еплршн7щ (?), 16:13, 04/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ждем магнит
     
  • 1.11, Аноним (11), 16:19, 04/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +23 +/
    Microsoft ❤️ opensource
     
     
  • 2.15, PHPoenX (ok), 16:38, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    МС любит открытое ПО, но не любит свободное
     
  • 2.36, Аноним (36), 22:07, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "Microsoft любит меня и я люблю Microsoft."
     
  • 2.43, Аноним (43), 01:38, 05/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Microsoft ❤️ opensource

    Уроки истории: Symbian 💛 opensource - https://arstechnica.com/gadgets/2011/04/nokia-transitions-symbian-source-to-no

     
     
  • 3.62, Аноним (60), 07:46, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Почему я узнаю о том, что Symbian - опенсорс, только после закрытия проекта?
     
     
  • 4.71, пох. (?), 15:34, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ровно потому что он тебе нах был не нужен, опенсорс этот. В смысле - как объект др-ва только и был. Ничего в нем исправить и понять ты бы все равно не смог.

    А тем кто мог и умел - было неинтересно за нокией устаревшую однозадачную систему поддерживать, поэтому толку от впопенсосия не было никакого.

     
     
  • 5.74, Аноним (60), 19:12, 07/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну у меня 3 телефона на симбиане на полке лежит.
     

  • 1.16, Аноним (16), 16:38, 04/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как я понял, это энтерпрайз исходники, которые вытащены из образа для гипервизоров, которые можно скачать на https://enterprise.github.com/releases
     
  • 1.18, Аноним (68), 16:51, 04/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А кто радел за открытость и швaбoдy?!!
     
     
  • 2.52, Gogi (??), 11:59, 05/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    "Не-не! Ты б***дство с ревностью не путай!" (ц) анек :))
    У микрософта "шBа6одка" - отдельно, деньги - отдельно. Когда какое-то гуано перестало приносить M$ прибыль и вообще морально устарело лет 10 назад, она его выкладывает опенсорсникам. Остальные продукты стережёт как слепой импотент - и сам не юзает, и другим не даёт.
     
     
  • 3.64, Аноним (68), 08:49, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Любая швaбoдa стоит денег.
     
     
  • 4.72, ms (??), 15:35, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну почему же, не все в мире ж меряется деньгами. Иногда и рабами взять можно.

    По хорошему курсу.

     

  • 1.21, Любитель Монеточки (?), 17:07, 04/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Как открыли исходный код github? Говнохром давно умеет видеть исходный код сайтов
     
     
  • 2.22, Аноним (22), 17:52, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И бэкенд?
     
     
  • 3.23, Kisb (?), 17:58, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Внезапно!
     
  • 3.26, Аноним (26), 18:14, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Да. Нажмите клавишу F13 и он покажет сорцы бекенда.
     
     
  • 4.29, Аноним (29), 19:10, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    На маке есть такая клавиша, и что?
     
     
  • 5.37, Гудрон_из_саванны (?), 22:12, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну вот она специально задумана чтобы подсматривать исходники бэкенда в хроме
     
  • 2.66, Аноним (68), 13:39, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не только он. Если что.
     

  • 1.24, Аноним (24), 18:09, 04/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ipfs () io/ipfs/QmcJS9uqsR5KgfcwQmeuRUy6sdS9EKpL5LGrxVWHGu8ejx

    anonfiles () com/Jax980m9p6/dmca-565ece486c7c1652754d7b6d2b5ed9cb4097f9d5_zip

     
     
  • 2.25, Аноним (24), 18:09, 04/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://web.archive.org/web/20201104050247/https://codeload.github.com/github/
     
  • 2.42, Аноним (43), 01:30, 05/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Все ссылки тут - https://boards.4channel.org/g/thread/78532424/githubcomgithub-enterprise-sourc
     

  • 1.27, Аноним (27), 18:44, 04/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Everything went more boring than expected.
     
  • 1.28, Иваня (?), 18:52, 04/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Ору, карма гитхаба очень плохая в последнее время
     
  • 1.46, Аноним (-), 10:08, 05/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну и как мне допустим скачать эти исходники ?
     
  • 1.47, Kusb (?), 10:32, 05/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Будет где разрабатывать утёкшую windows xp, готовый движок для поднятия своего сервиса.
     
     
  • 2.49, Аноним (-), 11:22, 05/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Какого сервиса ? То что на картинке - это вообще черт пойми что. Даже посмотреть нельзя - не говоря о проверить правда ли это вообще исходники гитхаба. А вы тут заливатете как будто бы вот они исходники полноценной системы.
     
     
  • 3.53, Kusb (?), 13:15, 05/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А, то есть поднять свой гидхаб пиратским способом пока нельзя?
     
  • 2.61, Аноним (60), 07:41, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вы даже линукс разработать не можете, о какой Winddows речь может идти?
     

  • 1.51, Gogi (??), 11:56, 05/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ***ка, да когда уже 7-ку-то сольют?!!
     
     
  • 2.54, Kusb (?), 13:18, 05/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Возможно уже слили, но зарабатывают на исходниках и уязвимостях. А когда это будет трудно, тогда и отдадут.
    Но можно организовать фонд по выкупу имходников семерки у хакеров, чтобы получить её актуальную.
     
     
  • 3.57, Аноним (57), 18:48, 05/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Но зачем?!
     
     
  • 4.58, онанимуз (?), 21:13, 05/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ибо десятка и даром не нужна, а хр морально устарела.
    если семёрка станет, случайно или намеренно, опенсорц, то тогда точно настанет линуксокапец на десктопах.
     
     
  • 5.59, Аноним (57), 21:52, 05/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Почему?
     
     
  • 6.63, ОЛЕГ (?), 08:13, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Подому что он никрофил и продолжает насиловать трупы
    Та же 2000я быстрее xp была
     
  • 2.65, Аноним (68), 13:37, 06/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А тебе это зачем?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру