Нещодавно деякі люди помітили дивну зміну у вихідному коді ядра Linux, нюанси при перегляді коду ядра на GitHub Вони помітили, що зміни, внесені третіми сторонами (тими, хто клонував або розгалужив цю), дивним чином з'являлися в основному сховищі.
Це привернуло увагу деяких на інтерфейсі GitHub, оскільки була виявлена цікава функція що дозволяє представити будь-які сторонні зміни як зміни, вже включені до основного проекту.
Наприклад, сьогодні в соціальних мережах почало поширюватися посилання на зміну офіційного дзеркала основного сховища ядра Linux, що вказує на заміну бекдора в драйвері HID-Samsung.
Примха GitHub насторожила розробників ядра
Зіткнувшись із цим конфліктом деякі почали перевіряти код ядра, особливо в драйвері Samsung на додаток до спроби перевірити, чи не порушено безпеку ядра.
Аналіз ситуації показав це GitHub для оптимізації зберігання та мінімізації дублювання даних на своїх серверах зберігає всі об'єкти з основного сховища та гілки, пов’язані з нею, логічно поділяючи право власності на коміти.
Після цього Це сховище дозволяє кожному, хто переглядає код, побачити будь-яке підтвердження з будь-якого форка в будь-якому пов'язаному сховищі, чітко вказавши його хеш в URL-адресі.
Наприклад, у випадку з бекдор-демонстрацією, один із користувачів створив форк основного сховища ядра Linux в інтерфейсі GitHub, а потім додав до своєї вилки коміт із кодом, подібним до бэкдор.
Після цього він сформував посилання, де ідентифікатор SHA1 зовнішньої зміни був замінений в URL-адресі основного сховища.
Коли відкривається подібне посилання, зовнішній коміт відображається в інтерфейсі GitHub в контексті основного сховища, хоча це було зроблено на розгалуженні і не має нічого спільного з основним сховищем, і в ньому немає такого коміту.
Крім того, В інтерфейсі GitHub під час перегляду журналу змін для окремих файлів головне сховище також відображає сторонні коміти, що створює багато плутанини.
Це викликало занепокоєння, оскільки вони вважали, що це хакерство і що вони ввели шкідливий код у вихідний код ядра Linux.
Ну, як ми бачимо на зображенні на перший погляд, здається, що вставлений код є частиною того, що зберігається в основному сховищі ядра Linux.
І що спочатку він не робить посилань на зовнішні сховища, де були зроблені зміни.
Це все було помилковою тривогою
Ця "помилка" (так би мовити) хвилювала багатьох, оскільки на даний момент вони не знали, чи не ризикують вони, чи не порушена цілісність ядра.
Я витрачаю мало часу щоб вони усвідомили, що під час вилучення даних або клонування сховища за допомогою команд git сторонні зміни в отриманому сховищі відсутні.
GitHub просто представив зміни з першого погляду, коли насправді це не так.
Поки що про це більше нічого не відомо, і якщо люди Github (Microsoft) мають намір дати рішення цього, що безпосередньо не впливає на розробку, а тим більше при отриманні вихідного коду ядра.
Але що, якщо це може заплутати багатьох, хто вирішить переглянути деякі частини проектів, які зберігаються на Github.
Ну, це не те, що відображається безпосередньо в коді ядра Linux, але воно також буде показано у форках або форках інших проектів.
Тож не виключено, що багато розробників або користувачів цієї платформи вже надіслали деякі електронні листи людям GitHub.
Якщо ви хочете дізнатися трохи більше про цю темуви можете відвідати за наступним посиланням де код, який сформував цю ситуацію, все ще відображається, а також коментарі щодо нього про це тут.