В репозитории github/dmca, где публикуются сообщения о нарушениях DMCA, были размещены исходные коды GitHub.com и GitHub Enterprise. Исходники были опубликованы 4 ноября в 3:51 UTC (6:51 MSK) со следующим сообщением: "felt cute, might put gh source code on dmca repo now idk". Данные опубликованы с привязкой к имени пользователя nat, которое пересекается с учётной записью Нэта Фридмэна (Nat Friedman), руководителя GitHub. Добавленные изменения уже удалены, но остались в архиве.
Вероятно код был присоединён к официальному репозиторию github/dmca при помощи техники, позволяющей представить любое стороннее изменение как изменение, уже включённое в другой проект. GitHub в целях оптимизации и исключения дубликатов хранит вместе все объекты из основного репозитория и форков, логически разделяя принадлежность коммитов. Подобное хранение позволяет просмотреть в основном репозитории любой коммит из любого форка, явно указав его хэш в URL. Например, пользователь может создать форк репозитория github/dmca и добавить в него любой код, после чего этот код станет доступен по прямой хэш-ссылке в репозитории github/dmca.
Напомним, что в мае в сети появились сведения о попытке продажи неизвестным содержимого приватных GitHub-репозиториев Microsoft. Неизвестный заявил, что смог загрузить около 500 ГБ данных из приватных репозиториев Microsoft, размещённых на GitHub, и предоставил в качестве доказательства скриншоты и 1 ГБ данных. Большинство аналитиков сочли доказательства неубедительными, так как скриншоты легко подделать, а в данных фигурировал какой-то бессмысленный набор файлов с текстом на китайском языке, тестами и отрывками кода. Один из инженеров Microsoft в комментарии заявил, что утечка вероятно является фейком, так как в Microsoft имеется правило, в соответствии с которым в приватных репозиториях на GitHub размещаются проекты, которые должны стать публичными в течение 30 дней.
Дополнение: предположительно размещённый код представляет собой копию исходных текстов, извлечённых из образа виртуальной машины с GitHub Еnterprise, вариантом GitHub для предприятий, позволяющем развернуть окружение для совместной разработки внутри корпоративной сети на подконтрольном оборудовании.
Источник статьи: https://www.opennet.ru/opennews/art.shtml?num=54024
Вероятно код был присоединён к официальному репозиторию github/dmca при помощи техники, позволяющей представить любое стороннее изменение как изменение, уже включённое в другой проект. GitHub в целях оптимизации и исключения дубликатов хранит вместе все объекты из основного репозитория и форков, логически разделяя принадлежность коммитов. Подобное хранение позволяет просмотреть в основном репозитории любой коммит из любого форка, явно указав его хэш в URL. Например, пользователь может создать форк репозитория github/dmca и добавить в него любой код, после чего этот код станет доступен по прямой хэш-ссылке в репозитории github/dmca.
Напомним, что в мае в сети появились сведения о попытке продажи неизвестным содержимого приватных GitHub-репозиториев Microsoft. Неизвестный заявил, что смог загрузить около 500 ГБ данных из приватных репозиториев Microsoft, размещённых на GitHub, и предоставил в качестве доказательства скриншоты и 1 ГБ данных. Большинство аналитиков сочли доказательства неубедительными, так как скриншоты легко подделать, а в данных фигурировал какой-то бессмысленный набор файлов с текстом на китайском языке, тестами и отрывками кода. Один из инженеров Microsoft в комментарии заявил, что утечка вероятно является фейком, так как в Microsoft имеется правило, в соответствии с которым в приватных репозиториях на GitHub размещаются проекты, которые должны стать публичными в течение 30 дней.
Дополнение: предположительно размещённый код представляет собой копию исходных текстов, извлечённых из образа виртуальной машины с GitHub Еnterprise, вариантом GitHub для предприятий, позволяющем развернуть окружение для совместной разработки внутри корпоративной сети на подконтрольном оборудовании.
Источник статьи: https://www.opennet.ru/opennews/art.shtml?num=54024