GitHub 被黑，不明人士冒充 CEO 走漏其机密源代码

泄露文件已被全部删除

GitHub想必大家都非常熟悉，它是一个大型代码存储库，主要为企业和开发人员提供托管项目和服务代码。苹果，亚马逊，谷歌，Facebook以及其他许多大型科技公司都是其主要客户。同时，GitHub已托管超过1亿个存储库，为4000万开发人员提供资源支持。

因此，此泄露事件一出便迅速冲上了Hacker News热搜，不少开发者表示为GitHub平台的安全性感到担忧。

对此，GitHub CEO Friedman本人则第一时间在热帖下做出了解释。他表示，

GitHub没有被黑客入侵，被泄露的是部分GitHub Enterprise Server源代码。二者虽然共享大量代码，但GitHub主要是由Ruby编写，还是有很大差异的。

另外，这一事件的起因是几个月前，开发人员无意间将企业服务器源代码的未脱敏/混淆的 tarball 交付给了一些客户造成的。我们正在全力修复平台Bug，防止未经授权的不明人士通过伪造身份随意盗用、修改他人项目。

最后，Friedman为了安抚用户甚至还吟了首勃朗宁的诗：一切都很好，情况也很正常，云雀展翅飞翔，蜗牛在荆棘上爬动，世上一切顺当!

不过，开发者们对此回应并不买账。从他们的吐槽来看，Github代码管理系统早已存在多项Bug，比如提交代码时，Git不会对用户身份进行核验。这一点会给源代码带来极大的安全风险，但GitHub平台对此从未重视过。

另外，有人表示正是利用这一缺陷，不明人士才得以冒充Friedman身份发布了机密代码。

源代码管理器Git存在Bug

Git，是Github用来托管源代码的分布式版本管理系统，简单来说，就是源代码管理器。

它的设计存在一种明显的缺陷，即没有为防止其他用户盗用提供太多的保护。具体来说，Git 上传代码文件的过程，类似于发送电子邮件。用户可以在user.name和user.email字段中输入任何信息。这一过程中，如果两个字段之间不采用GPG密钥关联，系统就不会核查它的指定来源，那么信息造假会变得非常容易。

（编辑：ASP站长网）