GitHub פרץ, מיליוני פרויקטים בסיכון לשינוי או מחיקה

אוקטוקאט, גיטהאב

GitHub, אחד המאגרים הגדולים ביותר של תוכנות קוד פתוח ומסחרי פתוח ברשת, נפרץ. בסוף השבוע, המפתח אגור הומקוב ניצל פגיעות פעורה ב- GitHub שאפשרה לו (או לכל אחד אחר שיש לו ידע בסיסי בהאקרים) להשיג גישה למנהלים לפרויקטים כמו Ruby on Rails, Linux ומיליוני אחרים. הומקוב יכול היה למחוק את כל ההיסטוריה של פרויקטים כגון jQuery, Node.js, Reddit ו- Redis.

מאז שהושק בשנת 2008, GitHub גברה במהירות על מתחרים כמו Codeplex ובהתאם לאיזה מדד תשתמשו, היא אפילו הגדילה את Sourceforge המכהן זה זמן רב. בעיקרו של דבר, GitHub הוא עטיפה מבוססת רשת סביב מערכת בקרת התיקון Git של לינוס טורבלדס (שאותה כתב בתחילה כדי לסייע בפיתוח לינוקס), אך זו תוספת של תכונות רשתות חברתיות כמו עדכונים, חברים ומגמות שהניעו את המרשים של GitHub. צְמִיחָה. בסופו של דבר, GitHub מקל מאוד ומהיר על מפתחים לשתף פעולה - ובנוסף זה בחינם לפרויקטים של קוד פתוח - וכתוצאה מכך כ -1.4 מיליון מפתחים נמשכו לשירות בתוך שלוש שנים בלבד, ויצרו יותר מ -2.3 מיליון מאגרים. רשימה של הפרויקטים המאושרים ביותר ב- GitHub כמעט קורא כמו בן זמננו שהוא ממיזמי קוד פתוח מצליח.



למרות גודלו וחשיבותו, GitHub מעולם לא נפרץ - עד עכשיו. GitHub משתמש במסגרת היישום Ruby on Rails, ו- Rails היה חלש למה שמכונה פגיעות בהקצאה המונית במשך שנים. בעיקרון, הומקוב ניצל את הפגיעות הזו כדי להוסיף את המפתח הציבורי שלו לפרויקט Rails ב- GitHub, מה שאומר ש- GitHub זיהה אותו כמנהל הפרויקט. מכאן הוא יכול לעשות כל דבר ביעילות, כולל מחיקת הפרויקט כולו מהאינטרנט; במקום זאת, הוא פרסם התחייבות קומית למדי. GitHub השעה את הומקוב בסכום, תיקן את החור ולאחר ש'בדק את פעילותו 'הוחזר לתפקיד.



פריצה של Homakov GitHubאם לשים בצד את האופן שבו GitHub טיפל במצב (במהירות ובמחשבה), הבעיה העיקרית היא ש- GitHub היה חשוף לפריצה של Rails פשוטה להפליא וידועה שככל הנראה הייתה קיימת מאז הקמת האתר. מומחים לאודם אוהבים מייקל הרטל ו אריק צ'פווסקה כותבים (ומתריעים) על הפגיעות בהקצאה המונית מאז שנת 2008, כאשר GitHub הושק לראשונה. בקיצור, סביר מאוד להניח שאגור הומקוב לא היה האדם הראשון שניצל את GitHub בצורה זו. היינו שומעים על כך אם פרויקט גדול היה נמחק יש מאין - אבל אולי האקרים שינו בשקט את בסיסי הקוד למטרות משלהם.

מתקדם, GitHub התנצל על הטשטוש כיצד האקרים עם כובעים לבנים צריכים לחשוף פגיעויות אבטחה ולהקים דף עזרה חדש המפרט בבירור כיצד לדווח על בעיות. GitHub, לצד מערך האפליקציות המקוונות של 37signal (Basecamp ו- Campfire), הוא ככל הנראה הפריסה הגדולה ביותר של Ruby on Rails ברשת. אחרי הסדרה הארוכה של פריצות פריצות גבוהות בשנה שעברה על חברות טכנולוגיה כמו סוני, RSA, מעבר אחרון, וגוגל, אנחנו כנראה לא צריכים להיות מופתעים מכך ש- GitHub היה פגיע - אך עדיין, כשמדובר בשירות שכל כך הרבה פרויקטים חשובים נשענים עליו, זה מזעזע כי פגיעות עתיקת יומין לא הובאה בביקורת אבטחה; אם GitHub מבצע ביקורת אבטחה, כלומר.



לדיון על הפגיעות בה השתמש הומקוב, ראה את הבלוג האישי שלו ו הבלוג של כריס אקי

Copyright © כל הזכויות שמורות | 2007es.com