前言

由於內部分析基礎設施的容量已達到極限，總部設於俄亥俄州克利夫蘭市的美國KeyBank銀行於今年開始轉向雲分析計算，同時隨著雲端儲存技術的發展，越來越多的銀行開始考慮將客戶資料遷移至雲端儲存。專家預計這將減少銀行75%空間和成本！

但雲端儲存真的安全嗎？

我突然想起最近各個技術網站上熱議的一件事情：“GitHub全部原始碼洩露！”

這裡所說的原始碼，並非我們廣大使用者儲存在GitHub上的開原始碼，而是指GitHub，其本身自己的程式碼！！！

甚至有調皮的網頁第一時間發文表示 “GitHub把自己開源了！”

這件事情是怎麼被發現的呢？我們要感謝TypeScript的開發者Resynth大神，敢於揭露事情的真相。

他在自己的博文中宣佈了此事，按照他的說法，他發現一些非常可疑的提交，這些提交的備註是：“felt cute, might put gh source code on dmca repo now idk”。

似乎是一個身份不明的人冒充GitHub CEO 納特·弗裡德曼（Nat Friedman）利用 GitHub 應用程式中的漏洞bug，上傳了機密原始碼。

這些程式碼包括 linting 配置、CI 工作流、Dockerfiles 和其他與構建相關的配置檔案，以及"This is GitHub.com and GitHub Enterprise."的文案。

事件暴露之後引起廣大開發者的熱議，因為有一部分開發者早在很久以前就反饋過類似的程式隱患，但一直沒有引起官方重視及回覆。按網友的說法，微軟似乎從來不承認這些問題的存在。

我們先來簡單瞭解下這個安全漏洞是怎麼一回事。

GitHub 的原始碼管理器 Git，提交方式比較像電子郵件，允許使用者隨意填寫使用者名稱及郵箱地址。所以，任何人大可以用GitHub CEO 納特·弗裡德曼（Nat Friedman）的名字進行提交，官方完全不會確認是否真的是其本人，除非當提交資訊中包含其金鑰簽名。這次出問題的這些提交，恰巧就是沒有金鑰簽名的。

而真正讓網友炸鍋的，是隨後，真·GitHub CEO 納特·弗裡德曼（Nat Friedman） 做的迴應。

他表示“GitHub 並沒有被駭客入侵，一切依舊正常。所謂洩露的程式碼是幾個月前他們不小地將 GitHub Enterprise Server 上一些沒有脫密的原始碼交付給了一些客戶，但一切處於可控範圍，不會影響大家的安全。”

看到這裡，真的瞬間想起國內一些當紅流量小生在粉絲鬧事情況下糟糕的危機公關，真的很想問一句GitHub“你們沒有專門的公關團隊嗎？這樣就覺得可以糊弄過去？”

因為之前一些使用者已經反饋過GitHub的程式碼管理系統早已存在的多項Bug，官方的一直不作為，再加上敷衍了事的態度，似乎更激起了大家針對GitHub本身的不滿情緒。

例如：

網友 exabrial：您認為這是正常情況？那你們是不是還想透過偽造無效的 DCMA，刪掉其他的什麼專案？

CEO 弗裡德曼：這邊建議您閱讀 DCMA 工作原理呢。（不由自主腦補了他說這一段話時的傲慢臉）

網友 dannyw：如果 GitHub 真的提倡開源，它就不會是現在這樣。微軟可是 RIAA 的成員！（GitHub 前段時間應 RIAA 的要求，直接刪除了 GitHub 上開源的油管影片下載器 Youtube-dl，引起了廣大開發者不滿，也有人認為就是有人為了Youtube-dl事件報復微軟才洩露的本次程式碼）

正所謂不作不死，這一下子還有人發現：GitHub 最初刪掉的相關專案只有 18 個，而現在竟然變成了 4000 多個！ 天知道都是些什麼內容，藏著什麼黑幕！

自從2018年微軟收購了GitHub 之後，GitHub 的開源就開始逐漸變了味道，雖然微軟官方的口徑一直是鼓勵開源，但是實際上已經不止一次封印了一些社群的開原始碼，具體原因，我們只能呵呵了。

此時此刻想起了Ensemble Studios，可能很多人不知道它是什麼，但說起帝國時代，應該80後都知道。Ensemble Studios就是帝國時代的製作工作室，成立於1995年，於2001年被微軟收入麾下，然後又在2008年9月被微軟關閉。用他們的員工的話說就是“微軟是一家上市公司，他們只對他們的股東負責。”希望同樣的事情，不要出現在GitHub 身上。