Recientemente някои хора забелязаха странна промяна в изходния код на ядрото на Linux, след това при проверка на кода на ядрото на GitHub Те забелязаха, че промените, направени от трети страни (тези, които са клонирали или разделили тази), се появяват странно в основното хранилище.
Това привлече вниманието на някои от интерфейса на GitHub, тъй като беше разкрита интересна функция което ви позволява да представите всички промени на трети страни като промяна, която вече е включена в основния проект.
Например, днес в социалните мрежи започна да се разпространява препратка към промяна в официалното огледало на основното хранилище на ядрото на Linux, което показва подмяната на задната врата в драйвера HID-Samsung.
Чудатост на GitHub алармира разработчиците на ядрото
Изправени пред този конфликт някои започнаха да проверяват кода на ядрото, особено в драйвера на Samsung в допълнение към опита да провери дали сигурността на ядрото е била нарушена.
Анализ на ситуацията показа това GitHub, за да оптимизира съхранението и да минимизира дублирането на данни на своите сървъри, съхранява всички обекти от основното хранилище и вилиците, свързани с него, логично споделящи собствеността върху комитите.
при което Това хранилище позволява на всеки, който сърфира в кода, да види потвърждение от която и да е вилица във всяко свързано хранилище, като изрично посочва неговия хеш в URL адреса.
Например, в случай на бекдор демо, един от потребителите създаде разклонение на основното хранилище на ядрото на Linux в интерфейса на GitHub, след което добави ангажимент с подобен на задната врата код към неговата вилица.
След това формира връзка, в която идентификаторът на SHA1 на външната промяна е заменен в URL адреса на основното хранилище.
Когато се отвори подобна връзка, външен фиксиране се показва в интерфейса на GitHub в контекста на основното хранилище, въпреки че е направено на разклонението и няма нищо общо с основното хранилище и в него няма такъв комит.
Освен това, В интерфейса на GitHub, когато преглеждате списъка с промени за отделни файлове, основното хранилище също показва ангажименти на трети страни, което създава много объркване.
Това разтревожи някои, тъй като смятаха, че това е хак и че са въвели злонамерен код в изходния код на ядрото на Linux.
Е, както виждаме на изображението на пръв поглед, изглежда, че вмъкнатият код е част от това, което се съхранява в основното хранилище на ядрото на Linux.
И че първоначално не прави препратки към външните хранилища, където са направени модификациите.
Всичко беше фалшива тревога
Тази „грешка“ (така да се каже) притесни мнозина, тъй като в момента те не знаеха дали вече са изложени на риск или целостта на ядрото е била нарушена.
Прекарвам малко време за да ги накарат да разберат, че при извличане на данни или клониране на хранилище с помощта на git команди липсват промените на трети страни в полученото хранилище.
GitHub просто представи промените с един поглед, когато в действителност не е така.
В момента не се знае повече за това и ако хората от Github (Microsoft) имат предвид да дадат решение на това, което не засяга пряко развитието, още по-малко при получаването на изходния код на ядрото.
Но какво, ако може да обърка мнозина, които решат да прегледат някои части от проектите, които се съхраняват в Github.
Е, това не е нещо, което се показва директно в кода на ядрото на Linux, но ще се показва и във вилиците или разклоненията на други проекти.
Така че е възможно много разработчици или потребители на тази платформа да са изпратили някои имейли до хората от GitHub.
Ако искате да научите малко повече по тази темаможете да посетите следната връзка където кодът, формирал тази ситуация, все още е показан, както и коментарите по отношение на него за това тук.