L’histoire paraît compliquée, mais elle est finalement assez simple (sauf nouveau rebondissement). Tout est parti de l’annonce par resynth1943 de la publication du code source de GitHub… dans le dépôt officiel GitHub DMCA par un utilisateur « Nat », comme le rapporte Ars Technica. La plateforme d'hébergement de code et de gestion des versions n’est pour rappel pas open source.
Cela soulève donc deux questions : comment le code source a été récupéré et comment a-t-il été publié ? Nat Friedman (CEO de GitHub) explique qu’il ne s’agit pas du code source du service à proprement parler mais de celui de l'édition Enterprise Server qui est proche, mais différent. Celle-ci est proposée aux clients souhaitant un hébergement sur leurs propres serveurs.
Sa distribution se fait habituellement « dans un format simplifié et obfusqué ». Problème, le code source complet a été envoyé par erreur il y a quelques mois à certains clients. C'est cela qui s'est retrouvé mis en ligne.
Reste la seconde question : comment le code source a été mis en ligne dans le dépôt DMCA en se faisant passer pour l’utilisateur Nat, faisant penser à Nat Friedman ? Ars Technica rappelle que GitHub « permet aux utilisateurs de mettre ce qu’ils souhaitent dans les champs user.name et user.email. Cela rend l’usurpation triviale », ce que confirme Friedman.
Seule solution pour prouver son identité et éviter ce genre de déboires : signer les commits, ce que le CEO recommande de faire. Un label « vérifié » apparaît alors à côté du nom d’utilisateur. Concernant la publication dans le dépôt DMCA, c’est une « illusion d’optique ». Un fork du dépôt a été créé puis une URL a été utilisée pour donner l'impression que le commit avait été effectué sur le dépôt principal.
Pour Friedman « tout va bien », car il n’y a pas eu de piratage… il y a néanmoins matière à améliorer la sécurité sur plusieurs points.
Commentaires (13)
#1
Githubception !
#2
La vraie question, c’est : pourquoi est-ce que github, ce chantre de l’open source, n’a pas son logiciel en open source ?
#3
Il me semble que l’histoire du champs user.name et user.email ainsi que de la signature, ce sont des caractéristiques de git lui même, pas de GitHub.
#3.1
Exact, ce sont des informations de configuration Git :
#4
À quel moment GitHub se présente-t-il comme un chantre de l’open source ?
#5
yep je pensais p&areil , surtout que je croyais que microsoft en était le propriétaire.
(ça a peut-être changé depuis)
#5.1
Microsoft a racheté Github en 2018, ils en sont toujours propriétaires.
Après, même si le serveur Enterprise de Github est propriétaire, ils ont aussi développé des logiciels open source avec Atom et Electron (tous deux sous licence MIT).
#6
Quand ils disent :
The largest open source community in the world
There are millions of open source projects on GitHub. Join one or start your own.
#6.1
Ils ont toujours dit qu’ils hébergeaient la communauté open source, pas qu’ils en faisaient partie.
#6.2
Oui mais bon, du propriétaire pour héberger du logiciel libre, c’est toujours un peu bancal. Ça me rappelle furieusement l’époque BitKeeper… et tout ce qui a suivi.
#6.3
C’est aux projets libres de voir si cette situation leur convient ou pas.
#7
#8
Github est une surcouche de GIT pour lui apporter de nouvelle fonctionnalité et une prise en main plus simple.
Derriere il y a une entreprise.. et des gens qui sont payer pour faire évoluer ce logiciel… qui permet d’offrir un service gratuit pour une grosse partie de la communauté.