Maslinux
Las noticias más recientes sobre GNU-Linux

Problema de confianza con GitHub

La repentina partida de un desarrollador de GitHub, junto con los paquetes de código Go que mantuvo, ha subrayado un posible problema de seguridad con la forma en que algunos desarrolladores confían en el código distribuido a través del sitio de la comunidad.

El individuo que se identificaba como Jim Teeuwen, que mantenía el repositorio de GitHub para una herramienta llamada go-bindata para datos incrustados en los binarios Go, recientemente eliminó su cuenta de GitHub, llevando consigo un recurso que otros desarrolladores de Go habían incluido en sus proyectos.

El incidente se hace eco de la desaparición, más ampliamente notada en 2016, de alrededor de 250 módulos mantenidos por el desarrollador Azer Koçulu del repositorio de NPM. La eliminación de uno de estos módulos, el panel izquierdo, rompió miles de paquetes de Node.js que lo incorporaron y provocó que NPM tomara el paso sin precedentes de restaurar o “anular la publicación” del código.

A principios de esta semana, un desarrollador no identificado, cuyo proyecto Go dejó de funcionar como resultado del cierre de la cuenta jteeuwen, abrió una nueva cuenta GitHub con el nombre abandonado y la repobló con una versión bifurcada del paquete go-bindata como una solución para volver a habilitar el proyecto roto.

En una publicación de esa cuenta, Franklin Yu, un ingeniero de software del área de Boston en los EE. UU, dijo que era amigo de la persona que recreó la cuenta y explicó que el repositorio había resucitado para arreglar un proyecto privado.

“El propietario actual no tenía forma de redireccionar directamente el repositorio, por lo que hizo un trabajo de tal manera que podía irse a casa sin que su supervisor lo culpara”, explicó. “Y por supuesto, esperaba que esto también salve a alguien más atrapado en una situación similar”.

Confusión

La reaparición de la cuenta, sin embargo, ha provocado confusión y quejas.

“El hecho de que se les permitió hacer esto, sin embargo, representa un defecto fundamental en el modelo de seguridad de GitHub”, dijo el desarrollador Jesse Donat en una publicación de blog. “Los nombres de usuario, una vez eliminados, nunca deberían volver a ser válidos. Muchos sitios, incluido Google, lo hacen de esta manera”.

Twitter no lo hace, lo que ha permitido a varias personas reactivar nombres de cuentas abandonados por el gobierno de los EE. UU.

Las implicaciones de seguridad de permitir la reutilización de nombres abandonados son particularmente evidentes en la industria del dominio, donde los dominios caducados se vuelven a registrar regularmente por los remitentes de correo no deseado con la esperanza de beneficiarse de la confianza y el tráfico que el propietario anterior haya acumulado.

Los propios desarrolladores son parcialmente responsables de confiar en un código que no pueden controlar y no pueden verificar.

Pero Donat, en una entrevista telefónica con The Register, sugirió que no es realista. “Se podría argumentar que todo se debe al desarrollador”, dijo. “Pero el hecho es que esta es la forma en que GitHub se está utilizando ahora, como un repositorio de paquetes, ya sea que esté destinado a ser o no”.

Donat argumentó que GitHub debería abordar el problema, señalando que no sería difícil revivir un nombre de cuenta abandonado y usarlo para distribuir malware.

Ciertamente, las compañías pueden hacer más para salvar a las personas de sí mismas y para cerrar las brechas creadas cuando aquellos que suministran recursos a la comunidad se retiran de la vida en línea por elección o por incapacidad.

Aunque GitHub tiene un mecanismo que puede facilitar la comunidad de código cuando los desarrolladores se alejan del sitio (repositorios archivados), también podría evitar que los nombres de las cuentas se reutilicen.

The Register le pidió a GitHub que comenten al respecto, pero la compañía declinó.

Fuente: The Register

(Visitada 1 veces, 1 visitas hoy )

! Comentario

  1. g g
    13 febrero, 2018    

    interesante

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¿Dinero público? ¡Código Público! – Únete a la campaña de la FSFE

Mediante el uso de software libre, los datos de los ciudadanos se mantienen más seguros y las posibilidades de éxito ataques de los criminales se reduce. El software libre también puede utilizarse como base para mejores aplicaciones, basándose en él para crear programas más eficientes y seguros. En resumen, el Software Libre puede ayudarnos a construir una sociedad mejor para todos.Firma aquí Para más info, Visita este enlace

Populares

  • Oracle abre código fuente de DTrace bajo GPL (46)
  • Android File Transfer para GNU/Linux: Envía archivos sin límites de tamaño (44)
  • Cómo GNU/Linux se convirtió en mi trabajo ( Phil Estes) (34)
  • Kubuntu 17.10: Guía para principiantes (V) (29)
  • Cómo instalar temas en Ubuntu 17.10 (21)
  • 9 Cosas que hacer después de instalar Ubuntu 17.10 (18)
  • Cómo instalar GNOME Shell por defecto en Ubuntu 17.10 (16)

Categorías

Archivos

Suscripción por email

Puedes suscribirte a las noticias más recientes por correo electrónico

10 años en la Web

Maslinux.es utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies