Бесплатно Экспресс-аудит сайта:

07.11.2020

Сервис GitHub опроверг слухи о взломе

Администрация сервиса для хостинга IT-проектов и их совместной разработки GitHub вынуждена убеждать своих пользователей в том, что слухи о взломе сервиса не имеют под собой оснований.

Все началось с публикации неизвестным пользователем некоего кода, который, по его словам, является исходным кодом порталов GitHub.com и GitHub Enterprise. Код был добавлен в качестве коммита в раздел GitHub DMCA, причем коммит был сделан так, будто его добавил глава GitHub Нат Фридман (Nat Friedman). Однако, согласно сообщению Фридмана на портале YCombinator Hacker News, он не публиковал код, и GitHub взломан не был.

По словам Фридмана, «утекший исходный код» – это не весь код, а только его часть, относящаяся к продукту GitHub Enterprise Server – локальной версии GitHub.com для команд разработчиков корпоративного ПО. Компании могут развертывать GitHub Enterprise Server на своих серверах для локального хранения своего кода из соображений безопасности и при этом пользоваться всеми функциями полноценного GitHub.

Как пояснил Фридман, утечка исходника GitHub Enterprise Server произошла еще несколько месяцев назад по вине инженеров GitHub, случайно «отправивших некоторым клиентам необработанный/обфусцированный тарбол исходного кода GitHub Enterprise Server». Глава сервиса также пообещал исправить две уязвимости, проэксплуатированные пользователем, опубликовавшим исходный код, которые позволяют неавторизованным сторонам добавлять свой код в чужие проекты под чужим именем.

«Подытожу: все хорошо, ситуация в норме. Птица летит, улитка ползет – и в порядке мир», – написал Фридман.