Recentemente algumas pessoas notaram uma mudança estranha no código-fonte do kernel Linux, tão ao revisar o código do kernel no GitHub Eles notaram que as alterações feitas por terceiros (aqueles que clonaram ou bifurcaram este) estavam aparecendo estranhamente no repositório principal.
Isso chamou a atenção de alguns na interface do GitHub quando um recurso interessante foi revelado que permite apresentar quaisquer alterações de terceiros como uma alteração já incluída no projeto principal.
Por exemplo, hoje nas redes sociais uma referência a uma mudança no espelho oficial do repositório principal do kernel Linux começou a se espalhar, indicando a substituição de um backdoor no driver HID-Samsung.
Uma peculiaridade do GitHub alarmou os desenvolvedores de kernel
Confrontado com este conflito alguns começaram a verificar o código do kernel, especialmente no driver Samsung além de tentar verificar se a segurança do kernel foi comprometida.
Uma análise da situação mostrou que O GitHub, para otimizar o armazenamento e minimizar a duplicação de dados em seus servidores, armazena todos os objetos do repositório principal e os garfos associados a ele, compartilhando logicamente a propriedade dos commits.
Com o qual Esse armazenamento permite que qualquer pessoa que esteja navegando no código veja qualquer confirmação de qualquer bifurcação em qualquer repositório associado, indicando explicitamente seu hash na URL.
Por exemplo, no caso de uma demonstração de backdoor, um dos usuários criou um fork do repositório principal do kernel Linux na interface do GitHub e, em seguida, adicionou um commit com código semelhante ao backdoor em seu fork.
Em seguida, formou-se um link onde o identificador SHA1 da alteração externa foi substituído na URL do repositório principal.
Quando um link semelhante é aberto, um commit externo é exibido na interface do GitHub no contexto do repositório principal, mesmo que tenha sido feito na bifurcação e não tenha nada a ver com o repositório principal e não haja tal commit nele.
Além disso, Na interface do GitHub, ao visualizar o changelog para arquivos individuais, o repositório principal também mostra commits de terceiros, o que cria muita confusão.
Isso alarmou alguns, pois eles pensaram que era um hack e que haviam introduzido um código malicioso no código-fonte do kernel do Linux.
Bem, como podemos ver na imagem à primeira vista, parece que o código inserido faz parte do que está armazenado no repositório principal do Kernel do Linux.
E que a princípio não faz referências aos repositórios externos onde as modificações foram feitas.
Foi tudo um alarme falso
Este "erro" (por assim dizer) preocupou muitos, pois no momento não sabiam se já estavam correndo algum risco ou se a integridade do Kernel estava comprometida.
Eu passo pouco tempo então eles perceberiam que ao extrair dados ou clonar um repositório usando comandos git, as alterações de terceiros no repositório resultante estavam ausentes.
O GitHub simplesmente apresentou as mudanças rapidamente, quando na realidade não é.
No momento não se sabe mais sobre isso e se o pessoal do Github (Microsoft) tem em mente dar uma solução para isso, o que não afeta diretamente o desenvolvimento, muito menos ao obter o código-fonte do kernel.
Mas e se isso pode confundir muitos que optam por revisar algumas partes dos projetos que estão armazenados no Github.
Bem, não é algo que é mostrado diretamente no código do kernel do Linux, mas também será mostrado nas bifurcações ou bifurcações de outros projetos.
Portanto, é possível que muitos desenvolvedores ou usuários desta plataforma já tenham enviado alguns emails para o pessoal do GitHub.
Se você quiser saber um pouco mais sobre este assunto, você pode visitar o seguinte link onde o código que formou esta situação ainda é mostrado e também os comentários a respeito sobre isso aqui.