GitHubのソースコードがGitHub上にリークされる、公開した人物は「GitHubのCEO」を偽装

ソフトウェア開発プラットフォーム「GitHub」のソースコードが、GitHubのナット・フリードマンCEOを名乗る人物によってリークされました。このリークを機に「これまでクローズドソースだったGitHubをオープンソースにすべき」という意見が強まっています。

GitHub Source Code Leak
https://resynth1943.net/articles/github-source-code-leak/

GitHub Source Code Leak | Hacker News
https://news.ycombinator.com/item?id=24994746

今ではオープンソースコミュニティに欠かせない存在となっているGitHubですが、GitHubそのもののソースコードはクローズドソースとなっており、リリースから明らかにされることはありませんでした。しかし、2020年11月5日、GitHubのCEOであるフリードマン氏を名乗る人物によってソースコードがGitHub上に公開されてしまうという事態が発生。公開した人物は「felt cute, might put gh source code on dmca repo now idk(キュートだと思ったので、GitHubのソースコードをDMCAリポジトリに公開してみようと思うのですが、どうでしょうか)」とコメントしており、ソースコードはウェブアーカイブとして残されています。

GitHub - github/dmca at 565ece486c7c1652754d7b6d2b5ed9cb4097f9d5
https://web.archive.org/web/20201104050026if_/https://github.com/github/dmca/tree/565ece486c7c1652754d7b6d2b5ed9cb4097f9d5

2021/11/04追記：
追記時点で、ウェブアーカイブから除外されていることを確認しました。

まず「どうやってフリードマン氏を偽ってDMCAリポジトリに公開したか」については、もともとGitHubで問題となっていた「リポジトリのなりすまし」が利用されたとのこと。手法としては、まず偽装したいリポジトリをフォークし、偽装したいアカウントのメールアドレスを利用してコミット。その後フォークしたリポジトリをGitHubに公開すれば、見た目上はリポジトリを偽装することができてしまいます。

「ソースコードの流出元はどこか」については、「本物の」フリードマン氏が「数カ月前に顧客に誤って出荷してしまったGitHub Enterpriseのソースコード」であると表明。GitHub EnterpriseはGitHubを自らホスティングできる企業向け製品で、ソースコードは難読化されているものの解読可能であることが知られていました。

しかし、流出したソースコードのREADMEファイルには「GitHub.comとGitHub Enterpriseのソースコード」という記述や、GitHubの従業員向けの説明が記載されていました。このことから「ただGitHub Enterpriseの難読化コードを解読しただけのものではないのでは」とする意見もあります。

今回のリークをきっかけとして、ソーシャルニュースサイト・Hacker Newsでは「GitHubは自身のコードをオープンソースにすべき」という意見があがっています。しかし一方で、プロジェクトをオープンソースにすると「コミュニティに対してコードをメンテナンスする責任」も生じるため、GitHubはその責任を回避したいとするコメントも。また、2017年にRedditがクローズドソースへ移行した理由のひとつである「オープンソースプロジェクトは計画を漏らさずに開発するのが困難である」点もGitHubがオープンソースへと移行しない理由としてあげられています。

エンジニアのResynth氏は、GitHubはソースコードを秘匿することで「隠ぺいによるセキュリティ」に頼っているとともに、オープンソースコミュニティにおける中央集権的な存在になっていることを指摘しています。