Login  |  繁體中文
感謝您對「自由軟體鑄造場」的支持與愛護,十多年來「自由軟體鑄造場」受中央研究院支持,並在資訊科學研究所以及資訊科技創新研究中心執行,現已完成階段性的任務。 本網站預計持續維運至 2021年底,網站內容基本上不會再更動。
也紀念我們永遠的朋友 李士傑先生(Shih-Chieh Ilya Li)。
News

Kernel.org 遭入侵 Linux 3.1 RC5 釋出搬遷至 GitHub

Linus Torvalds 日前發佈了 Linux 3.1 的第五次發行候選 (release candidate)。然而由於 Linux 核心的儲存之處 kernel.org 經歷先前的入侵事件後尚未完全復原運作,Torvalds 將這次的發行候選上傳至 GitHub,這使得 GitHub 如今成為 Linux 3.1 RC5 半官方的來源。

Torvalds 在一篇部落格文章中寫到,又到了該釋出發行候選的時候,因為 kernel.org 伺服器仍未復原,他曾考慮要跳過這一週。但是他又想,分散式開發的重點不就是各處平等無異嗎?既然他為了 divelog 相關的開發而開了一個 GitHub 帳號,為什麼不試試看把整個核心存儲庫也放上去呢?

在這次釋出中,Torvalds 向核心黑客說明該如何提取 (check out) 此一 git 存儲庫。他明確表示一旦 kernel.org 完全回復,就會把程式碼轉回該伺服器。

由於 kernel.org 被入侵,約 400 名核心黑客必須更換其 SSH 金鑰作為預防措施。此外 Linux 核心原始碼也進行分析,檢查是否遭到未授權的篡改,隨後確認程式原始碼在此次入侵中並未遭到修改。

這次針對 Linux 的攻擊,正巧發生在該開放源碼平台歡慶 20 週年的數天後,攻擊鎖定的是一部名為 hera 的伺服器,其用途為維護與散佈該平台。

kernel.org 管理團隊希望盡快結束調查,讓一切回復原貌。這麼一來當 Torvalds 準備就緒,就可以在原處發佈 Linux 3.1 核心最終版本。

某些 GitHub 的愛用者可能希望 Linux 就這麼永久搬遷至 GitHub 上,但是結果顯示或許 GitHub 並非 Linux 核心開發的最佳選擇。Torvalds 已經發表多個訊息到 Linux 核心郵件列表,指出採用 GitHub 時遭遇到的問題。

他表示,在使用某些通用 git 代管網站時,他需要用以確認對方身分的證明,而非只是簡單的「請拉取」(please pull) 幾個字而已。對方得告訴他為什麼他可以信任這些拉取要求的來源正確,否則他只好等到 kernel.org 復原,因為使用者無法任意在該網站建立存儲庫並發出電子郵件。

由此可以看出,儘管 GitHub 的長處在於沒有進入障礙,但是在無法驗證所有權真實性的狀況下,這個長處也是風險所在。GitHub 顯然可以施加某種加密簽章設定或常見的身分認證機制,這麼做並不困難。

無疑地,假如 kernel.org 下週就復原,Torvalds 會立刻搬回該服務。可是如果該服務持續暫停運作,Torvalds 或其他人很有可能針對 GitHub 的問題提出解決方案。


相關網址:
1. Linus Torvalds 在 kernel.org 遭到入侵後將 Linux 3.1-RC5 搬到 Github 上
https://www.theinquirer.net/inquirer/news/2106955/linus-torvalds-linux-31-rc5-github-kernelorg-breach
2. Linux 3.1 第五次發行候選在 GitHub 上,而非 Kernal.org
https://www.itproportal.com/2011/09/06/fifth-release-candidate-linux-hosted-github-not-kernalorg/
3. GitHub 的問題
https://www.internetnews.com/blog/skerner/the-problem-with-github.html
4. Linux 開發暫時搬移至 GitHub
https://www.h-online.com/open/news/item/Linux-development-temporarily-moves-to-GitHub-1336692.html



OSSF Newsletter : 第 181 期 基於 KVM 與 libvirt 的虛擬化叢集系統-Debian 篇

Category: FOSS News