Hi daruyanagi, it's GitHub. We're doing an SSH key audit.

執筆日時:

f:id:daruyanagi:20120309042457p:plain

先週後半、GitHub の Ruby コードにセキュリティ上の欠陥が発見され、GitHub に報告された。GitHub はその欠陥が深刻ではないと判断し、バグを修正せずにクローズした。だが、欠陥を発見した Egor Homakov 氏は黙って引き下がらなかった。GitHub に対して欠陥の深刻さを訴え、修正するべきと迫ったのだ。

GitHub は Homakov 氏のこの行為に対して感謝することはなかった。それどころか Homakov 氏の GitHub アカウントを一時的に利用停止としたのだ

GitHub セキュリティに対する疑念 - インターネットコム

要は、「セキュリティ問題あるぜ」→「ねーよ」→「あるわ! 試しにハッキングしたった」→「やりやがったな。アカウント停止じゃ」ということらしい。これは GitHub 側に落ち度があると思うが、まぁ、これから気をつけましょうね、でイイと思う。セキュリティ問題の指摘って、ちょっと重箱の隅をつつく嫌いがある。玉石混交の報告の中から「玉」を漏らさず掬いとるのは、受け手からしたら難しいに違いない。

とりあえず遅ればせながらちゃんと対策が施されたので、エンドユーザー側にもちょっとした作業が必要になる。といっても、単に設定画面でSSHキーを再承認するだけなのだけど。

f:id:daruyanagi:20120309042410p:plain