在今年12月的一同黑客攻击中,GitHub标识符亲笔签名合格证书失窃。
2022年12月7日,GitHub检验到GitHub总体规划和合作开发中采用的库文档被非许可出访。历经进行调查,GitHub指出这对github.com服务项目没负面影响,即使仍未再次出现非许可修正的情形。
GitHub库被非许可出访的其原因是身份校正的标识符亲笔签名合格证书失窃,随即,GitHub注销了被侵略的凭据,并进行调查该该事件对顾客和外部控制系统的负面影响。辨认出受负面影响的库中并不包涵任何人顾客统计数据。而合格证书的透过身份校正的,现阶段没确凿证据说明合格证书被蓄意借助。
被侵略的库中留存着身份校正的标识符亲笔签名合格证书。现阶段尚不确切普通用户与否能NSA或采用那些合格证书。合格证书是用以校正标识符是不是原作建立的,那些合格证书并不能对已加装的GitHub Desktop和Atom造成负面影响。但假如普通用户获得成功NSA合格证书,就能用那些合格证书对非正式的应用领域亲笔签名,并装作是GitHub非官方建立的。
止12月6日有3个合格证书依然是有效率的:2个Windows版 Digicert标识符亲笔签名合格证书和1个Apple Developer ID合格证书。当中1个Digicert合格证书已在1月4日已过期,另两个将在2月1日已过期。已过期后,合格证书将难以再用作标识符亲笔签名。但为的是防治潜在性信用风险,GitHub将于2月2日将合格证书注销。
Apple Developer ID 合格证书的有效率期限为2027年,GitHub将于2月2日将合格证书注销。并将于苹果监视用该合格证书亲笔签名的捷伊可执行文件。
GitHub将注销受负面影响的用作GitHub Desktop和 Atom的合格证书。合格证书注销后,部份GitHub Desktop Mac版和Atom 将难以采用。
GitHub Desktop Mac下列版将在2月2日暂停服务项目,请预览到新一代版:
3.1.2
3.1.1
3.1.0
3.0.8
3.0.7
3.0.6
3.0.5
3.0.4
3.0.3
3.0.2
GitHub Desktop Windows版不受负面影响。
下列Atom版将于2月2日暂停服务项目,用户需要下载之前的Atom版:
1.63.1
1.63.0
or-github-desktop-and-atom-users/
