オムニ7アプリのソースコードがGitHub上で公開されていた可能性が指摘される 45
ストーリー by hylom
管理がずさんなのは分かった 部門より
管理がずさんなのは分かった 部門より
セブン&アイ・ホールディングスが提供しているスマートフォン向けアプリ「オムニ7アプリ」のソースコードがGitHubで一般公開されていた可能性があるとBusiness Insider JAPANが報じている。
記事によると、このソースコードは2015年5~7月頃に公開されたとみられており、その後更新されることなく公開されていたが、2019年7月10日ごろに削除されていたという。
また、削除後もそこからフォークされたコードがGitHub上に残っていたためか、NTT DATA MSEからDMCAに基づく削除申請が出ていたことも確認されている。
このソースコード中には外部IDを使ったログインに必要なトークンなども含まれていたが、このトークンだけでは悪用できないとの指摘もある。
季節の風物詩 (スコア:5, おもしろおかしい)
なぜかプロジェクトの全ソースをgithubにアップロードしてしまうという。
Re: (スコア:0)
Githubを買収したMSですらGithub業務使用非推奨してるのに、なぜオープンで使っちゃう会社があるんだろう。
Github使ってる俺カッコエー、昔関わったプロジェクトの実績をうpしてあるから見てくれってことかな
Re:季節の風物詩 (スコア:1)
そんなレベルの高い(!)問題じゃなくて、単にgitとGitHubの区別がついてないって話でしょ
Re: (スコア:0)
Github使用経験があると就職に有利になるんですよ。
冗談みたいな話だが、何度も聞かれたことあるんだよなー
「GitHub使ったことありますか?」
Re:季節の風物詩 (スコア:2, おもしろおかしい)
githubが当たり前だと思ってるのを弾くためかも知れない
# 弊社はファイル名に日付を付けて管理しています
Re:季節の風物詩 (スコア:1)
弊社、PC-98上のdBaseで作られたシステムが3台現役稼働してて、
そこから定期的にデータ抜き出してエクセル方眼紙に貼り付けてファイル名に日付とバージョン番号付けて管理してるわ…
Re: (スコア:0)
たとえばSubversionで10年以上やってきて、履歴もあるのに、無理してGitHubに
置き換えるメリットってなんですかね。逆に単に最近創業したばかりで、導入時期が
遅かったからなんとなくGitという会社だってあるじゃろし
いずれにせよ、それは前の職場がそれを導入していた。その導入時期と経緯についての
参考にはなるかも知れないけど、それと組織の文化や開発者のスキルとは関係ないでしょ。
「前職で使ってたバージョン管理システム」くらいなら参考になるかも知れないけど、
GitHubだけを神聖視して別格扱いする理由が理解できない。
Re: (スコア:0)
PullRequestかな。マジレスすると。
あとは履歴検索とかマージパフォーマンスもあるけれど。
分散バージョン管理? そんなのはどうでも良い。
Re: (スコア:0)
ブランチ頻繁に切るとか、
非共有の作業をしつつもバージョン管理したいときとか。
履歴に関しては手間はかかるみたいだけど変換して引き継ぐって選択肢もあると思う。
Re: (スコア:0)
SubversionとGitHubって比較する対象じゃないでしょ。
もしかしてgitとGitHubの区別ついてない?
Re: (スコア:0)
SubversionとGitでできる事は全く違う。
分散型はそれ自体にはさほどの魅力は無いように感じられるが、
分散型というシステムが生み出すダイナミックなコミット履歴の結合、編集、移送は、
一度それを覚えてしまうと旧来の集中型はとても無価値なものに見えるようになる。
Re: (スコア:0)
不利だったかもしれねえ…
Re: (スコア:0)
元コメはパブリックレポジトリとは書いてないと思うんだが。ツッコミどころは「オンプレで」と指示したにもかかわらずなぜかGitHubを使うってところでしょ。SVNならこういう事故の起きる余地がないというメリットがあるな(白目)。むろんSVNレポジトリーを提供するクラウドサービスはOSDNを始めとして数多くあるが、それらをSVNそのものと混同するはずがない
Re: (スコア:0)
この件はGithubを使う必要性がなさそうだな。svnやcvsが嫌というならgit使えばいいだけだし。
Re: (スコア:0)
新人にgitサーバ立てさせるのかよ。
っていうかgitサーバって何だ?
今時平文gitプロトコルなんて使わないだろ。
Re:季節の風物詩 (スコア:1)
Gitの公式ドキュメントでは、リモートのGitリポジトリの事をGitサーバーと呼んでいる
だからどうしたって話ではあるが
Re: (スコア:0)
別に社内のイントラネットで使う分には平文gitプロトコルでいいんじゃない?
外からアクセスしたけりゃVPN使えばいいわけだし。
Re: (スコア:0)
具体的にどこが阿保なのだろう……
Re: (スコア:0)
阿保さんは悪くないだろ
Re:季節の風物詩 (スコア:1)
あなおそろしや~おそろしや~
# 具体的なリスクケースを提示せずに危険性を主張するようなスカポンタンがエンジニアを名乗ってるとしたら、確かに怖い
Re: (スコア:0)
なんでもマックス症候群ですね。
いるんですよねぇ・・・
Re: (スコア:0)
リモートリポジトリを置くサーバ以外に何が。
多分、指示した人は、GitLab辺りのセットアップを想定して指示したと思うけどね。
(公式dockerイメージを使えば簡単に立てられるのでたいした難易度じゃない)
Re: (スコア:0)
オンプレが、オンプレミスではなくオープンプレースだと思った…とか?
Re: (スコア:0)
ビルド時に開発環境が外部との通信前提な時代だから
違和感めちゃ少ないのかもしれんねえ
Re: (スコア:0)
オンプレでって書いてあるのに。。。
#みんな、元コメはしっかり読もうぜ!
NTTデータじゃなくて (スコア:2, 参考になる)
NTTデータじゃなくてNTTデータMSE [nttd-mse.com]だからな。
株主構成
株式会社NTTデータ 45%
パナソニック株式会社 40%
株式会社デンソー 15%
NTT DATA MSEから削除申請 (スコア:1)
これで開発元が完全にバレてしまったわけだ
Re:NTT DATA MSEから削除申請 (スコア:3)
記事のコメント者から、アプリ開発者だというのは濡れ衣だという指摘。
アプリに使われたSDKの権利者だからだと。
https://twitter.com/masanork/status/1153904055363624960 [twitter.com]、2019年7月24日
Re: (スコア:0)
それだったらディレクトリまるごと削除する必要はないんじゃないの?
Re: (スコア:0)
リポジトリに含まれるファイル一つの問題でも、
それを完全に配信停止したらリポジトリ自体が不完全となって利用不能になる。
エラーコードも特殊な物にするハメになるし、
だったらリポジトリ毎封鎖するほうが楽。
Re: (スコア:0)
このJustTianって中華人がどうやって入手したか調べた方がいいのでは
Re: (スコア:0)
普通に中の人か外注で受けただけでしょ。
Re: (スコア:0)
私の知る狭い世界では、NTT DATAの仕事をやったことがある人はネガティブな印象持ってる率が高い(というか良い話を聞いたことがない)
私怨で漏らした人がいたりしそう
Re: (スコア:0)
まだキャッシュやアーカイブサイトで削除前のページが確認できますが
先にiナントカ氏がgithubに上げていたものをforkしただけです。
forkのみで一度もcommitした様子はないですし、中の人どころか単なる第三者という可能性も。
Re: (スコア:0)
この方、他にもforkしただけのものがいくつかありますね。
Re: (スコア:0)
これで開発元が完全にバレてしまったわけだ
でNTTデータは自社じゃなくて下請けに投げてその下請けが別の下請けに・・・
いったい何次だったんだろう
そのまま置いとけば (スコア:0)
親切な人がプルリクエスト投げてくれたかもしれないのに...
Re: (スコア:0)
まったく
オープンソースのままなら、セキュリティばっちりだった
Re: (スコア:0)
ていうか、5年も同じシステム使ってることってあるの?
今動いてるのと比べたらほとんどコード置き換わってるじゃないのか?
歴史的資料として保護してもいいんじゃ
Re: (スコア:0)
デザインやら、追加のデータやらは改修で何度か発生するかもしれんが、
既に動いて実績がある場合、ソースのロジック部の9割は公開時そのまま修正入れる必要ない事が多いかと
サービスインした後の改修で実施される変更なんてデザインの除けば数行の変更の積み重ねだし
7pay以前から (スコア:0)
アプリからデータが漏れてるって話があったような。
でも直接金に関わるアプリじゃなかったから大事にならなかったとか。
Re: (スコア:0)
アプリからデータが漏れてるって話があったような。
それはデータが漏れてた、ではないと思いますよ。
今回問題になったパスワード再設定部分が、7pay導入以前から存在していたので、アカウントリスト攻撃などを以前から受けていた可能性があるのではないか?という話かと。
Wayback Machine (スコア:0)
でもtop以外はなくてソース読めないぽいかな?