在去年 12 月的一起黑客攻击中,GitHub 标识符亲笔签名合格证书失窃。
2022 年 12 月 7 日,GitHub 检验到 GitHub 规划和开发中采用的库文件被非许可出访。经过进行调查,GitHub 认为这对 github.com 服务项目没有负面影响,因为并未出现非许可修改的情况。
GitHub 库被非许可出访的原因是身份校正的标识符亲笔签名合格证书失窃,随后,GitHub 注销了被侵略的凭据,并进行调查该事件对顾客和内部系统的负面影响。发现受负面影响的库中并不包含任何顾客数据。而合格证书的通过身份校正的,现阶段没有证据表明合格证书被蓄意利用。
被侵略的库中保存着身份校正的标识符亲笔签名合格证书。现阶段尚不清楚普通用户是否可以NSA或采用那些合格证书。合格证书是用来校正标识符是不是原作建立的,那些合格证书并不会对已安装的 GitHub Desktop 和 Atom 产生负面影响。但如果普通用户成功NSA合格证书,就可以用那些合格证书对非非正式的应用亲笔签名,并装作是 GitHub 非正式建立的。
截止 12 月 6 日有 3 个合格证书仍然是有效的:2 个 Windows 版 Digicert 标识符亲笔签名合格证书和 1 个 Apple Developer ID 合格证书。其中 1 个 Digicert 合格证书已在 1 月 4 日已过期,另一个将在 2 月 1 日已过期。已过期后,合格证书将难以再用作标识符亲笔签名。但为的是预防潜在风险,GitHub 将于 2 月 2 日将合格证书注销。
Apple Developer ID 合格证书的有效期限为 2027 年,GitHub 将于 2 月 2 日将合格证书注销。并将于苹果公司监控用该合格证书亲笔签名的捷伊DLL。
GitHub 将注销受负面影响的用作 GitHub Desktop 和 Atom 的合格证书。合格证书注销后,部分 GitHub Desktop Mac 版和 Atom 将难以采用。
GitHub Desktop Mac 以下版将在 2 月 2 日停止服务项目,请更新到最新版:
3.1.2
3.1.1
3.1.0
3.0.8
3.0.7
3.0.6
3.0.5
3.0.4
3.0.3
3.0.2
GitHub Desktop Windows 版不受负面影响。
以下 Atom 版将于 2 月 2 日停止服务项目,用户需要下载之前的 Atom 版:
1.63.1
1.63.0
