源码泄露到底是裁员报复,还是程序员反抗 996?

“后院”都要失守了,就先别馋大碗宽面了——B 站,你可长点儿心吧!

“你的源代码泄露了,还搁这儿吃面?”

2019 年 4 月 22 日,B 站(bilibili 弹幕网)官方微博账号内一片风平浪静岁月静好,照常发着安利视频。蹭着吴亦凡的新歌热度,16:56 分的推送是一碗货真价实的“大碗宽面”,但评论里的画风却是清一色的跑题——集体喊话 B 站,“回家看看吧,你家后院被点炮了”!

吃面路人一脸迷惑,啥?B 站到底咋了你们说清楚?

报!!B 站后台源码疑似泄露!

今天下午四点前后,有网友在 GitHub 上发现了一个“疯狂的”repo——上线不到 6 小时,便斩获 5000+ Star,Fork 数也一路飙过 6000,而且完全没有暂缓的趋势。

这个 repo 内容介绍的一行字也足够简单粗暴——哔哩哔哩 bilibili 网站后台工程 源码。

吃瓜群众惊落一地瓜子:嚯!B 站这是把自家的核心代码开源了?!还是说只是开放了旧版源码?此番 B 站方面是主动开源还是无辜被泄露?

一时间各种猜测、讨论潮水般涌入各大论坛及社交平台,“B站 源码”、“B站 GitHub”等相关话题的热度也在不断攀升。

但大家很快发现,该项目并未托管在 B 站的官方组织域(https://github.com/Bilibili) 之下,而其作者 openbilibili 也是个今天刚加入 GitHub 的“不知名人士”。因此,这次“开源”大概率上不会是 B 站的官方操作。

而且该项目的 README 包括项目规范和负责人信息两部分,后者还涵盖了详细的业务、具体负责人等信息。由此看来,这可能更倾向于团队内部的章程文件。

随着讨论楼越搭越高,在一众 666 之声中,开始有人提出“这个 repo 是在非法泄露源代码”。类似的声音在该项目的 Issue 中也越来越多,B 站官方社交账号下的评论也开始紧急呼叫“takedown”。

知乎网友@林溪 在回忆项目正式关闭前的最后一段时间时写道:

出于看热闹的心态,我试着 Fork 这个仓库,提示仓库已经 Offline,无法 Fork;然而此时该仓库依旧可以 Clone,有不少围观群众成功将其下载到了本地。

又过了几分钟,该仓库页面彻底消失,Fork 和 Clone 皆无法进行。至于其他人先前的 Fork,也提示无法访问。

至此吃瓜结束?

不!似乎没有结束,在十多分钟后,又可以访问这个仓库了,所以还可以继续围观一会。

终于,在 17:30 左右,后知后觉的 B 站与 Github,彻底删除了这个仓库。

Openbilibili?B 站在 Github 上公开了自己的后端源代码?

如何看待bilibili(b站)源码被上传Github?

这么一来可能会有哪些严重后果?

与网曝同步而来的,是知乎、V2EX 等论坛上拔地而起的高楼。捋完 B 站年度大戏的始末,就该来聊聊此次事件的后果了。

项目关闭了,但整个事件一时间恐怕还难以落幕。

官方终于出手了,但还是太晚了——

考虑到 Git 分布式的特点,该 repo 在过去 6 个小时内已然经历了“病毒式”的传播,惊人的 Fork 数量告诉我们,众多备份还在流传,删除了备份还有下载。更何况诸多“野生”备份在 disable 前,又各自积累了上千 Fork。

更有网友贴心地整理出了 B 站后端源码学习笔记,以供交流使用。可这么一整理也让大家发现了一个问题——这份代码相当“全面”,也正因此暴露了很多问题和隐患。

对此,有评论在分析后果时指出,“如果有人想通过 B 站后端代码*** B 站,无需再进行逆向工程进而猜测其运作原理和漏洞位置。现在可以直接阅读源码,从中找到很多尚未公开的漏洞”。而由此被黑灰产盯上拔毛也将是意料之中。

当然,对于早前带起的关于“B 站用户账号密码遭泄露”的节奏,也有不少评论表示代码中泄露的账号明显为内部测试账号,“不会有人把账号密码放在源码里,都放在数据库里了”。

藏在代码里的秘密

写注释的程序员可能不止是天使,还是段子手。此番泄露代码的注释,把 B 站程序员内心的吐槽能量,以及 B 站那些你不知道的潜规则“卖”了个干干净净。

那些年你走过的 B 站的套路

抽奖不成功也要发送弹幕,概率 20%,造成一种很多人中奖的假象:

你是尊贵的大会员用户吗?

此外,后台直接定义虚假播放量、大数据杀熟源码等实锤也一一被曝,这于 B 站而言显然不是什么好事。

静能敲代码,皮能写段子

程序员:皮这一下,是真的很开心。

产品!爱我你怕了吗!

快乐膜法了解一下?

本尊回应啦!

就在各路讨论分析、求源码等等搅得一团乱时,B 站官方于晚间悄悄挂出声明,回应称“所泄代码属于历史版本,已主动防御并报案”。

尽管如此,仍有细心的网友从代码文件中发现了可能与其声明不符的“蛛丝马迹”,其中便包括拜年祭 2019 的代码,强行说这是“历史”,似乎并不能说得通。

但事实究竟如此,恐怕也只有吃了亏的 B 站能说清了。

随着瓜越吃越大,B 站官方似乎有意下场肃清,从知乎热帖到微博话题,都被悄悄“和谐”了。

场外群众也纷纷表态,声明“从未 Clone、下载或者以任何途径获得 bilibili 公司的任何非正常途径公开的代码”。

所谓一瓜未尽又添新瓜,关于故意泄露源码的“元凶”,有说是被裁程序员的报复,有说是开源反抗 996 的第一战,更有调侃者剑指粉丝群体,但无论真相几何,先不论其职业生涯葬送以及给黑灰产强行送人头的后果,单是一首《铁窗泪》,可能已经为其备下了。

那么,你有是如何看待此次 B 站“被开源”事件的呢?

原文地址:https://blog.51cto.com/13754022/2383580

时间: 2024-08-28 15:14:58

源码泄露到底是裁员报复,还是程序员反抗 996?的相关文章

常见的Web源码泄露总结

常见的Web源码泄露总结 源码泄露方式分类 .hg源码泄露 漏洞成因: hg init 的时候会生成 .hg 漏洞利用: 工具: dvcs-ripper .git源码泄露 漏洞成因: 在运行git init 初始化代码库的时候,会在当前目录下产生一个.git的隐藏文件,用来记录代码的变更记录等等.在发布代码的时候,如果该文件没有删除而是直接发布了,那么使用这个文件,就可以恢复源代码. 漏洞利用: 工具:GitHack .DS_Store文件泄露 漏洞成因: 在发布代码的时候未删除隐藏文件汇总的.

git文件致源码泄露

前言:在一道ctf题的驱动下,我进行了对git和.git文件致源文件泄露的学习. 一.任务 一道ctf题目. 二.确定题目考的点 谷歌关键词:版本管理工具 github ctf 由得到的结果猜测,可能考的点是.git文件导致源文件泄露. 三.对git的粗略学习 其实经常会用到git,例如在用hexo+github pages搭建博客的时候就用到了git,又如在linux下载一些工具的时候,用到的git clone. git:分布式版本控制系统. 首先,何为版本控制系统?以git的诞生故事来解释,

(X6支持https)2017年9月15日友价T5X6商城站长交易源码仿互站送手机版程序8套模版

(https专版)2017年9月15日友价T5X6商城站长交易源码仿互站送手机版程序8套模版 修复官方版本的各种问题,, 安装步骤,1.将源码上传到主机,2.专入数据库文件.依次导入codes_170915.sql codes_data.sql codes_data_city.sql后台用户名密码: admin admin123 友价源码 X620170915补丁(主要修复https SSL及兼容问题) 以下是本次补丁的升级内容: 1.修复https微信登录功能2.手机版SSL错误,兼容http

CTF中常见Web源码泄露总结

.hg源码泄漏 漏洞成因: hg init的时候会生成.hg e.g.http://www.am0s.com/.hg/ 漏洞利用: 工具:dvcs-ripper rip-hg.pl -v -u http://www.am0s.com/.hg/ .git源码泄漏 漏洞成因: 在运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件,用来记录代码的变更记录等等.在发布代码的时候,把.git这个目录没有删除,直接发布了.使用这个文件,可以用来恢复源代码. e.g. http

js的arguments迪士尼彩乐园菠菜网站源码开发到底是什么?

arguments的一些妙用1.利用arguments实现方法的重载 下面我们利用arguments对象来实现一个参数相加的函数,不论传入多少参数都行,将传入的参数相加后返回. function add() {var len = arguments.length,sum = 0;for(;len--;){sum += arguments[len];}return sum;} console.log( add(1,2,3) ); //6console.log( add(1,3) ); //4con

由源码泄露引起的粗鄙审计低位变高危

  在挖掘漏洞的时候,发现某旗弈平台存在信息泄露emmm是这样吧~~ 看了一下主站是一个还可以的平台,因为漏洞还未修复就不截图主站了. 然后提交补天哥哥了,补天审核大大说要补充源码内容...所以我只能下载源码了. 下载源码后发现有两个目录.. 先打开public公共目录,如果没猜错这就是网站源码了,应该是直接打包的... 嗯,这个有点不错.貌似全打包了,东西还是挺多的.1个G emmmm看到后台了,myadmin打开网页看看,现在咱们就是白盒了啊~~~,看看提示. 看看index.php代码..

关于源码泄露的应急响应

近来,国内互联网公司安全事件频发,有公司内部源码被发现托管在github上,从而引发安全隐患. 作为一家具备危机公关的公司,面对这样的事件,应该有自己的一套详尽的流程: 如:1.第一时间通知公司危机公关小组,品牌部.法务部等: 2.第一时间通知公司技术部门,如CTO办公室,技术管理办公室,研发中心,产品中心等 3.召开会议,分析前因后果,指定方案:

SVN源码泄露漏洞

SVN(subversion)是源代码版本管理软件,造成SVN源代码漏洞的主要原因是管理员操作不规范.“在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息.但一些网站管理员在发布代码时,不愿意使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的‘entries’文件,逐步摸清站点结构.”(可以利用.svn/entries文件,获取到服务器源码.svn服务器账号密码

Spark修炼之道(高级篇)——Spark源码阅读:第一节 Spark应用程序提交流程

作者:摇摆少年梦 微信号: zhouzhihubeyond spark-submit 脚本应用程序提交流程 在运行Spar应用程序时,会将spark应用程序打包后使用spark-submit脚本提交到Spark中运行,执行提交命令如下: root@sparkmaster:/hadoopLearning/spark-1.5.0-bin-hadoop2.4/bin# ./spark-submit --master spark://sparkmaster:7077 --class SparkWordC