白癜风那家医院治疗好 https://jbk.39.net/yiyuanzaixian/bjzkbdfyy/ffxbdf/
YouTube-dl事件刚过去，GitHub又登上HackerNews榜首。原因是程序代码全遭外流！从开发者Resynth的博客文了解，一个向GitHub官方DMCA数据库提交的可疑Commit，不明身份人员利用GitHub应用程序的bug假冒GitHubCEONatFriedman上传机密程序代码。泄露文件已全部移除。GitHub想必大家都非常熟悉，是大型程序代码存储库，主要为企业和开发人员提供托管项目和服务程序代码。苹果、亚马逊、Google、Facebook及其他许多大型科技公司都是主要用户。同时GitHub被托管超过1亿个程序库，为4千万开发人员提供资源支持。因此泄露事件一出便迅速冲上HackerNews热搜，不少开发者表示为GitHub平台的安全性担忧。Friedman第一时间解释，表示GitHub没有被黑客入侵，泄露的是部分GitHubEnterpriseServer程序代码。两者虽然共享大量程序代码，但GitHub主要是由Ruby编写，还是有很大差别。事件起因是几个月前，开发人员无意间将企业服务器程序代码的未脱敏／混淆的tarball交给一些用户。他们正全力修复Bug，防止未经授权的不明人士通过虚拟身份随意盗用、修改他人项目。Friedman为了安抚用户，甚至还引用勃朗宁的诗：一切都很好，情况也很正常，云雀展翅飞翔，蜗牛在荆棘上爬动，世上一切顺常！不过开发者并不买帐。从吐槽来看，Github程序代码管理系统早有多只Bug，如提交程序代码时，Git不会验证用户身份，造成极大安全风险，但GitHub从未重视。另外有人表示正是利用这点，不明人士才顺利冒充Friedman发出机密程序代码。程序代码管理者Git有BugGit是Github托管程序代码的分布式版本管理系统，简单来说，就是程序代码管理者。但设计有明显的缺陷，即没有为防止其他用户盗用提供太多保护。举例说，Git上传程序代码的过程，类似发送电子邮件，用户可在user.name和user.email字段输入任何信息，如果两字段不采用GPG加密键连接，系统就不会验证它的指定来源，造假非常容易。不明人士顺利提交成功，显然是Friedman没为相关字段创建GPG（GeneralPlanningGroup）加密键。那绕过这层限制后，不明人士又如何提交至程序库，同时又不损害其他账号？据了解，提交内容上传到Git程序库会得到散列值，可用于寻找树。GitHub是Web应用程序的一部分，提供浏览器底层Git架构的访问权，因此可将Git程序库所有分支存到一个单独底层程序库，尽管通常不会在URL架构显示。为了假冒别人，不明人士首先需要复制一个DMCA程序库。延伸到程序库后，再提交泄露程序代码，并伪造Friedman姓名和信箱。过程Fork程序库可能会出现错误，换句话说，URL可能依然指向假冒者真正的用户名和账号。但在底层Git，父级和Fork都是同个程序库的一部分，允许假冒者创建一个URL，可在内存程序库提交，而不是在Fork。因此，假冒者从

转载请注明:http://www.aideyishus.com/lkyy/6797.html