パスワードを忘れた? アカウント作成
14979779 story
情報漏洩

流失したGithubとGitHub Enterpのソースコード、Githubにうpされる(削除済み) 31

ストーリー by nagazou
課題が突きつけられる結果に 部門より
「GitHub」のソースコードがGitHubのCEOであるNatFriedmanを名乗る人物によって公開された。もちろん偽物だ。このソースコードは削除されており、web archiveに残っていたものもアクセスできなくなっている。なお本物のNatFriedman氏は今回の経緯について、数か月前に一部の顧客宛に誤って出してしまったことがあり、それがアップされたものだとしている(ResynthHacker NewsGIGAZINE)。

リポジトリの偽装については、もともとGitHubで課題とされていた「なりすまし」の方法が取られているという。GIGAZINEによれば、

手法としては、まず偽装したいリポジトリをフォークし、偽装したいアカウントのメールアドレスを利用してコミット。その後フォークしたリポジトリをGitHubに公開すれば、見た目上はリポジトリを偽装することができてしまいます。

とのこと。ただ、この流出を機にGitHubをオープンソースにすべきという意見も強まっているようだ。

あるAnonymous Coward 曰く、

1100人にフォークされた模様

情報元へのリンク

  • 流出なのか流失なのか (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2020年11月06日 18時41分 (#3919858)

    オリジナルが保たれたままで外部に出てしまったなら流出

    オリジナルが消失し外部に出てしまったなら流失

    今回はどっちなんだい

    ここに返信
    • by Anonymous Coward

      オリジナルが保たれたままで外部に出てしまったなら流出

      オリジナルが消失し外部に出てしまったなら流失

      今回はどっちなんだい

      有耶無耶になって流局

    • by Anonymous Coward

      オリジナルが消えたなら今のGitHubは何が動いてるの?

      • by Anonymous Coward

        誤字の指摘にアスペ返し、もう収拾つかんな

      • by Anonymous Coward

        バイナリ。

        ソースコードが失われても、コンパイルしたバイナリは動き続けます。

        マジレスじゃないからね

  • by Anonymous Coward on 2020年11月06日 18時49分 (#3919863)

    さすが老人会だけの事はある

    ここに返信
    • by Anonymous Coward

      「流失」とか言ってるし世代以前のナニカだろ

  • 何いってんだか...
    物乞いをするときは最低限頭を下げるべき。

    ここに返信
    • by Anonymous Coward

      「うp」なんてタレコミに使っちゃうレベルの人だから仕方ないよ。

  • by Anonymous Coward on 2020年11月07日 1時10分 (#3920047)
    ソースが偽物なのかNatFriedman氏の偽者の意味なのか、はっきり書いてほしい
    ここに返信
    • by Anonymous Coward

      それより NatFriedman は Nat Friedman だろ

      • by Anonymous Coward

        空白を入れるとエラーを吐くので

        • by Anonymous Coward

          ダブルクォートで囲め
          エラーメッセージ晒せ
          ソース晒せ
          小出しよくない

  • by Anonymous Coward on 2020年11月08日 0時31分 (#3920426)

    もともと1100人がフォークしてたリポジトリに GitHub のソースコードがプッシュされただけ
    流出したソースコードが1100人にフォークされた訳ではない

    ここに返信
  • by Anonymous Coward on 2020年11月06日 18時07分 (#3919831)

    なんか最近、企業の不祥事でInternet Archiveの保存まで消そうとするの多くない?今回はファイルの一覧だけじゃないか。

    ここに返信
    • by Anonymous Coward

      消すのではなく、無期限で非公開、関係者がみんな星になった頃に開示、みたいなルールにすればいいんじゃないかなー。
      歴史的に研究したいこともあるだろう。
      黒い歴史かも知れないが。

      ※黒いって言うとポリコレるんだっけ?

      • by Anonymous Coward

        みんな星になった後云十年、じゃね?ネズミ映画屋のせいで……

      • by Anonymous Coward

        絶対漏れる

    • by Anonymous Coward

      それだけInternet Archiveの存在がメジャーになってきたというか、
      企業のITリテラシーがあがったというか、
      どちらにしてもいいことなんじゃないか?

    • by Anonymous Coward

      ふたつ続けば「なんか最近」

  • by Anonymous Coward on 2020年11月06日 18時17分 (#3919841)

    いままで利用の機会なく関心なく過ごしていたのですが

    Githubが依拠しているGitがGPLv2ということくらいは知っていたので、
    GPLv2のソースに依存したら自動的にそのプロジェクトもGPLv2になっているはずで(GPL汚染)、
    GPLポリシーでバイナリを触るユーザにはすでにソース公開しているの流れだと思っていた

    が思い違いでしたか?
    リポジトリされたソースコード管理(Git)部分とサイト管理部分をうまいこと分離しているのでしょうか

    ここに返信
    • by Anonymous Coward on 2020年11月06日 22時49分 (#3920008)

      わざわざ汚染されるように作ると考えてるほうが驚き。ソースレベルで組み込む必要なんかないと思うんだけど。

      似たようなことができる GitLab なんかは MIT License っぽいですね。

      • by Anonymous Coward

        FSFの連中にとっては汚染こそ正義だからなぁ……
        GPL側がOSのコンポートでないなら連携するためのAPI経由でリンクした扱いになり感染するのでソース出せ連呼するような連中も少なくないよ。

        まぁそもそもWebサービスだから、利用者はバイナリを手にしておらず、
        よってたとえGPLだろうとソースへのアクセス権も発生しないんだけどね。

        • by Anonymous Coward

          https://ja.wikipedia.org/wiki/ [wikipedia.org]コンポート

          コンポート(フランス語: compote)は、果物を水や薄い砂糖水で煮て作る、ヨーロッパの伝統的な果物の保存方法。

    • サービスの利用者にソースコードを公開する必要があるのはAGPLだね。

    • by Anonymous Coward

      バイナリ触るのは中の人だけだろ。Webサービスなんだから。

    • by Anonymous Coward

      配布していないから、リンクしていようがいまいが義務は発生しないんじゃないかな。

    • by Anonymous Coward

      Githubは他のコメントのとおりだけど、仮にローカルでgitコマンドを
      叩くソフトだったらGPLにする必要はない。
      https://www.gnu.org/licenses/gpl-faq.ja.html#MereAggregation [gnu.org]

    • by Anonymous Coward

      すぐ乞食とか言い出すくせにGPLに従うのは汚染とか言って嫌がる風潮

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...