recent unii oameni au observat o schimbare ciudată în codul sursă al kernel-ului Linux, atunci când revizuiți codul nucleului pe GitHub Ei au observat că modificările făcute de terți (cei care au clonat-o sau furcat-o) apar în mod ciudat în depozitul principal.
Acest lucru a atras atenția unora pe interfața GitHub, deoarece a fost dezvăluită o caracteristică interesantă care vă permite să prezentați orice modificare a terților ca o modificare deja inclusă în proiectul principal.
De exemplu, astăzi în rețelele de socializare a început să se răspândească o referire la o schimbare în oglinda oficială a principalului depozit de kernel Linux, indicând înlocuirea unui backdoor în driverul HID-Samsung.
O ciudățenie GitHub a alarmat dezvoltatorii de nuclee
Confruntat cu acest conflict unii au început să verifice codul nucleului mai ales în driverul Samsung pe lângă încercarea de a verifica dacă securitatea nucleului a fost compromisă.
O analiză a situației a arătat că GitHub, pentru a optimiza stocarea și a minimiza duplicarea datelor pe serverele sale, stochează toate obiectele din depozitul principal și furculițele asociate acestuia, partajând în mod logic proprietatea asupra comitetelor.
după care stocarea menționată permite tuturor celor care navighează în cadrul codului să vadă orice confirmare de la orice furculiță din orice depozit asociat, indicând în mod explicit hash-ul său în URL.
De exemplu, în cazul unei demonstrații backdoor, unul dintre utilizatori a creat un fork al depozitului principal de kernel Linux în interfața GitHub, apoi a adăugat un commit cu cod de tip backdoor în furca sa.
După aceea, a format o legătură în care identificatorul SHA1 al modificării externe a fost înlocuit în URL-ul depozitului principal.
Când se deschide o legătură similară, un commit extern este afișat în interfața GitHub în contextul depozitului principal, chiar dacă a fost făcut pe furcă și nu are nimic de-a face cu depozitul principal și nu există un astfel de commit în el.
În plus, În interfața GitHub, când vizualizați jurnalul de schimbări pentru fișiere individuale, depozitul principal afișează, de asemenea, comiterile de la terți, ceea ce creează o mulțime de confuzie.
Acest lucru i-a alarmat pe unii, deoarece au crezut că este un hack și că au introdus un cod rău intenționat în codul sursă al kernel-ului Linux.
Ei bine, așa cum putem vedea în imagine la prima vedere, s-ar părea că codul inserat face parte din ceea ce este stocat în depozitul principal Linux Kernel.
Și că la început nu face trimiteri la depozitele externe în care au fost făcute modificările.
Totul a fost o alarmă falsă
Această „eroare” (ca să spunem așa) i-a îngrijorat pe mulți, deoarece în momentul de față nu știau dacă riscă deja vreun risc sau integritatea nucleului a fost compromisă.
Petrec puțin timp așa că și-ar da seama că atunci când extrag date sau clonează un depozit folosind comenzi git, lipsesc modificările terților în depozitul rezultat.
GitHub a prezentat pur și simplu schimbările dintr-o privire, atunci când în realitate nu este.
Pentru moment nu se mai știe despre asta și dacă oamenii din Github (Microsoft) au în vedere să dea o soluție la acest lucru, care nu afectează în mod direct dezvoltarea, cu atât mai puțin atunci când se obține codul sursă al nucleului.
Dar dacă poate confunda mulți dintre cei care aleg să revizuiască unele părți ale proiectelor stocate pe Github.
Ei bine, nu este ceva care este afișat direct în codul kernel Linux, dar va fi afișat și în furculițele sau furculițele altor proiecte.
Deci, este posibil ca mulți dezvoltatori sau utilizatori ai acestei platforme să fi trimis deja niște e-mailuri oamenilor din GitHub.
Dacă doriți să aflați mai multe despre acest subiectputeți vizita următorul link unde este încă afișat codul care a format această situație și comentariile referitoare la aceasta despre asta aici.