Исходные коды GitHub.com и GitHub Enterprise утекли

fohogvftfgsrjynpx-d5rusrzo8.pngПротивостояние разработчиков на GitHub по поводу блокировок на GitHub репозиториев проектов за нарушение действующего в США Закона об авторском праве в цифровую эпоху (DMCA) продолжается.

4 ноября 2020 года пользователь под ником nat (якобы под учетной записью Нэта Фридмэна — руководителя GitHub) прикрепил исходные коды GitHub.com и GitHub Enterprise прямо к репозиторию, где сервис хранит уведомления от правообладетелей.

Вдобавок там было оставлено сообщение: «felt cute, might put gh source code on dmca repo now idk». Это отсылка к мему «Feeling Cute, Might Delete Later» — когда выложенные в сети по настроению фотографии позднее удалялись пользователями по определенным соображениям.

В оперативном порядке специалисты GitHub удалили эти изменения в репозитории github/dmca. Однако, они остались в архиве Интернета.
На портале Hacker News сегодня появилось сообщение по этому поводу от имени Нэта Фридмэна. Опубликовавший это сообщение написал, что все в порядке, GitHub не был взломан. Оказалось, что два месяца назад специалисты сервиса случайно отправили некоторым клиентам тарбол (tarball) с исходным кодом GitHub Enterprise Server и с кодом github.com. Вероятно, что выложенные на некоторое время данные были частью этого архива с исходным кодом GitHub Enterprise (для предприятий). Он позволяет поднять свой GitHub сервер и развернуть окружение для совместной разработки проектов внутри корпоративной сети.

Также Фридмэн пояснил, что коммит от его имени не был подписан меткой «verified» и был поддельным. Неизвестный пользователь смог через неподписанный коммит выдать себя за него в своей локальной копии Git и затем загрузить новый репозиторий на GitHub.

Ранее 23 октября 2020 года по запросу американской ассоциации звукозаписывающих компаний (RIAA) основной репозиторий программы youtube-dl и его популярные форки были удалены с GitHub.

В конце октября исходный код youtube-dl был прикреплен к репозиторию github/dmca. Один из разработчиков сделал форк репозитория DMCA, затем создал коммит для слияния репозитория DMCA и youtubedl, чтобы код youtubedl стал включен во все дерево истории. Затем пользователь создал PR для основного репозитория DMCA. Создание PR привело к добавлению новой истории в исходный репозиторий DMCA. Так работает бэкэнд GitHub. В итоге разработчик получил доступ к истории в репозитории DMCA и смог добавить туда youtubedl.

В начале ноября GitHub внес изменения в правила обработки запросов о нарушении Закона об авторском праве в цифровую эпоху (DMCA). В документе появилось предупреждение о недопустимости повторной публикации заблокированного контента другими пользователями. Это будет рассматриваться как нарушение условий использования GitHub и может привести приостановке или блокировке учетных записей пользователей сервиса.

© Habrahabr.ru