ネットサービス

GitHubのソースコードがGitHub上にリークされる、公開した人物は「GitHubのCEO」を偽装


ソフトウェア開発プラットフォーム「GitHub」のソースコードが、GitHubのナット・フリードマンCEOを名乗る人物によってリークされました。このリークを機に「これまでクローズドソースだったGitHubをオープンソースにすべき」という意見が強まっています。

GitHub Source Code Leak
https://resynth1943.net/articles/github-source-code-leak/

GitHub Source Code Leak | Hacker News
https://news.ycombinator.com/item?id=24994746

今ではオープンソースコミュニティに欠かせない存在となっているGitHubですが、GitHubそのもののソースコードはクローズドソースとなっており、リリースから明らかにされることはありませんでした。しかし、2020年11月5日、GitHubのCEOであるフリードマン氏を名乗る人物によってソースコードがGitHub上に公開されてしまうという事態が発生。公開した人物は「felt cute, might put gh source code on dmca repo now idk(キュートだと思ったので、GitHubのソースコードをDMCAリポジトリに公開してみようと思うのですが、どうでしょうか)」とコメントしており、ソースコードはウェブアーカイブとして残されています。

GitHub - github/dmca at 565ece486c7c1652754d7b6d2b5ed9cb4097f9d5
https://web.archive.org/web/20201104050026if_/https://github.com/github/dmca/tree/565ece486c7c1652754d7b6d2b5ed9cb4097f9d5


まず「どうやってフリードマン氏を偽ってDMCAリポジトリに公開したか」については、もともとGitHubで問題となっていた「リポジトリのなりすまし」が利用されたとのこと。手法としては、まず偽装したいリポジトリをフォークし、偽装したいアカウントのメールアドレスを利用してコミット。その後フォークしたリポジトリをGitHubに公開すれば、見た目上はリポジトリを偽装することができてしまいます。

「ソースコードの流出元はどこか」については、「本物の」フリードマン氏が「数カ月前に顧客に誤って出荷してしまったGitHub Enterpriseのソースコード」であると表明。GitHub EnterpriseはGitHubを自らホスティングできる企業向け製品で、ソースコードは難読化されているものの解読可能であることが知られていました。

しかし、流出したソースコードのREADMEファイルには「GitHub.comとGitHub Enterpriseのソースコード」という記述や、GitHubの従業員向けの説明が記載されていました。このことから「ただGitHub Enterpriseの難読化コードを解読しただけのものではないのでは」とする意見もあります。


今回のリークをきっかけとして、ソーシャルニュースサイト・Hacker Newsでは「GitHubは自身のコードをオープンソースにすべき」という意見があがっています。しかし一方で、プロジェクトをオープンソースにすると「コミュニティに対してコードをメンテナンスする責任」も生じるため、GitHubはその責任を回避したいとするコメントも。また、2017年にRedditがクローズドソースへ移行した理由のひとつである「オープンソースプロジェクトは計画を漏らさずに開発するのが困難である」点もGitHubがオープンソースへと移行しない理由としてあげられています。


エンジニアのResynth氏は、GitHubはソースコードを秘匿することで「隠ぺいによるセキュリティ」に頼っているとともに、オープンソースコミュニティにおける中央集権的な存在になっていることを指摘しています。

この記事のタイトルとURLをコピーする

・関連記事
ディズニーや任天堂、Microsoftなど50社以上の企業のソースコードがリークされる - GIGAZINE

Microsoftが過去14年間・2億5000万件分のカスタマーサービスの記録をネット上に流出させてしまったことが判明 - GIGAZINE

AMDの次世代GPUのソースコードが盗まれる、犯人は「100億円以上の価値がある」と買い手を募集 - GIGAZINE

メルセデス・ベンツの車載演算装置(OLU)のソースコードが流出 - GIGAZINE

ディズニーや任天堂、Microsoftなど50社以上の企業のソースコードがリークされる - GIGAZINE

in ソフトウェア,   ネットサービス, Posted by log1n_yi

You can read the machine translated English article here.