CleanPress

Schlagwort: GitHub

  • GitHub: Youtube-dl wieder offiziell online

    Youtube-dl

    Wie der Code-Hoster GitHub auf seinem Blog mitteilt, ist das am 24. Oktober auf der Grundlage des Digital Millennium Copyright Act (DMCA) durch die Recording Industry Association of America (RIAA) entfernte Repository des beliebten Tools Youtube-dl wieder online, nachdem die Entwickler inkriminierte Teile entfernt haben. Bereits am 4. November wurde ein auf GitHub eingestellter Fork nicht mehr beanstandet, der die beanstandeten Teile nicht mehr enthielt. Dabei handelte es sich um als Unit-Tests eingebundene Verweise auf durch Copyright geschütztes Videomaterial.

    Juristische Analyse

    GitHub begründet die Wiederherstellung von Youtube-dl an alter Stelle damit, dass der Code in seiner jetzigen Form nicht gegen den DMCA verstoße. Dazu bedient sich GitHub der Analyse eines Anwalts der Electronic Frontier Foundation (EFF).

    Darin legt der Anwalt unter anderem dar, dass nach seiner Auffassung die Links zu urheberrechtlich geschütztem Material in den Unit-Tests des Codes keine Urheberrechtsverletzung, sondern angemessene Verwendung (Fair Use) darstellen. Trotzdem würden die Entwickler diese Referenzen gegen nicht urheberrechtlich geschütztes Material austauschen, um den Streit beizulegen.

    Ungewöhnliches Vorgehen

    Aufgrund des Vorfalls, bei dem die RIAA den Digital Millenium Copyright Act in ungewohnter Weise einsetzte, indem sie nicht direkt urheberrechtlich geschütztes Material inkriminierte, sondern lediglich die Möglichkeit der Umgehung von Kopierschutzmechanismen durch den Code von Youtube-dl monierte, hat GitHub seine Richtlinien für DMCA-Anfragen geändert. Das Unternehmen will sich künftig mehr auf die Seite der Entwickler stellen, indem solche Anfragen, die die Umgehung eines technischen Kopierschutzes zum Inhalt haben, künftig im Einzelfall von Experten technisch und juristisch überprüft werden, anstatt der Anfrage gleich stattzugeben. Vor der Entfernung wird dem Entwickler Raum zum Einspruch gewährt. Im Zweifel will GitHub zugunsten der Entwickler entscheiden.

    Entwickler-Verteidigungsfonds

    Wenn ein Verstoß festgestellt werde und einem solchen Antrag stattgegeben werden müsse, will GitHub den Entwicklern tatkräftig unter die Arme greifen, um den Code zu bereinigen und das Projekt wieder online zu bekommen. Zudem richtet das Unternehmen einen Fonds zur juristischen Unterstützung von betroffenen Projekten ein, der mit einer Million USD ausgestattet wird. Weiterhin will sich GitHub durch Lobby-Arbeit dafür stark machen, eine bereits diskutierte Reform des DMCA voranzutreiben.

  • GitHub warnt vor identischen Forks von Youtube-dl

    Youtube-dl
    Youtube-dl Logo von laboratorio linux | Lizenz: CC BY-NC-SA 2.0

    Vor Kurzem erhielt der zu Microsoft gehörende Codehoster GitHub von der Recording Industry Association of America (RIAA) einen Antrag auf Entfernung des Codes und der Downloadmöglichkeit von Youtube-dl, einem weit verbreiteten Tool zum Download von Videos oder deren Audispur von YouTube und anderen Plattformen. Grundlage des Antrags, dem GitHub nachkam, war der Digital Millennium Copyright Act (DMCA).

    Viele Klone

    Die Empörung in der Entwicklergemeinde und bei den Anwendern war groß und prompt erschien eine Vielzahl von identischen Forks auf GitHub und anderswo. Mittlerweile gibt es auch eine neue Version 2020.11.01.1 der Software auf deren Projektseite. Jetzt hat GitHub eine Warnung vor dem Hochladen von Forks ausgegeben, die identisch mit der inkriminierten Version sind. Das verletze GitHubs DMCA-Richtlinien und führe zur Löschung des Inhalts und könne darüber hinaus zur Aussetzung des Accounts des Hochladenden führen.

    Beanstandungen der RIAA entfernt

    Neben den identischen Forks gibt es aber zumindest eine Version, die hochgeladen wurde, nachdem die beanstandeten Codeteile entfernt wurden. Gegen diese Version hat die RIAA bisher nichts unternommen. Bei den von der RIAA monierten Codeteilen handelte es sich hauptsächlich und Referenzen zu Songs einiger bekannter Künstler, die von der RIAA vertreten werden. Sie waren als Testcase im Code enthalten.

    An bestehende Gesetze gebunden

    GitHub äußerte sich gegenüber der Plattform The Register dahingehend, GitHub sei immer willens, Entwicklern bei DMCA-Anträgen beizustehen, andererseits sei das Unternehmen aber an die Gesetzeslage gebunden. Da man noch keine Beschwerden über den modifizierten Fork erhalten habe, verbleibe dieser zunächst auf der Plattform. Somit sieht es zumindest im Moment so aus, als ob die RIAA das Ziel, Youtube-dl von GitHub zu verbannen, verfehlt hat.

  • Einbruch auf der GitHub-Präsenz von Gentoo

    Einbruch bei Gentoo
    Quelle: Negative Space | Lizenz: CC0

     

    Wie die Entwickler des Linux-Projekt Gentoo bekannt gaben, wurde ein Teil der GitHub-Präsenz des Projekts am 28.6. gegen 20:20 von Hackern übernommen und dort liegender Quellcode manipuliert. Zum Zeitpunkt der Bekanntgabe des Hacks, der sehr schnell entdeckt wurde, war nicht bekannt, welche Daten verändert wurden. In einem ersten Bericht schreiben die Entwickler:

    [su_quote style=“modern-light“]Heute, am 28. Juni um ca. 20:20 UTC haben unbekannte Personen die Kontrolle über die GitHub Gentoo Organisation erlangt und den Inhalt von Repositories und Seiten dort verändert. Wir arbeiten noch immer daran, den genauen Umfang zu bestimmen und die Kontrolle über die Organisation und ihre Repositorien wiederzuerlangen. Der gesamte Gentoo Code, der auf GitHub gehostet wird, sollte im Moment als kompromittiert betrachtet werden.[/su_quote]

    Originalcode ist sicher

    Der kompromittierte Quellcode auf GitHub ist nur eine Kopie des Originalcodes, der von Gentoo auf eigener Infrastruktur unter der Domain gentoo.org gehostet wird. Der Originalcode, der für die Entwicklung und für ebuilds genutzt wird, ist von den Manipulationen nicht betroffen und wird als sicher betrachtet. Auch ein Spiegel des Codes im Repository gentoo mirror auf GitHub ist unversehrt und weiterhin zugänglich. Sorgen machen müssen sich lediglich Personen, die in den Stunden vor dem Einbruch bei Gentoo Code vom derzeit immer noch geschlossenen GitHub-Repository bezogen haben. Die von den Einbrechern hinterlassene Malware war dazu ausgelegt, sämtliche Daten auf dem Rechner eines Anwenders zu löschen.

    Wiederherstellungsarbeiten

    Der GitHub-Support arbeitet derzeit noch an der Wiederherstellung der Pull-Request-Historie zum Zeitpunkt des Einbruchs und an einem Audit. Wie die Gentoo-Entwickler in einer Zusammenfassung der Ereignisse seit dem Einbruch bekannt gaben, wurden, soweit bekannt, keine ebuilds von dem betroffenen Repository angestoßen. Der Account der Einbrecher und der hinterlassene bösartige Malware-Code waren rund 10 Stunden nach der Entdeckung von der Plattform entfernt.

    Gentoo wartet derzeit auf den Abschluss des Audits seitens GitHub, um anschließend manuell nötige Nacharbeiten zur Wiederherstellung der Pull Requests vorzunehmen. Zudem müssen alle Nutzerkonten wiederhergestellt werden. Dazu gilt ab sofort Zwei-Faktor-Authentifizierung (2FA) als Voraussetzung. Nach Abschluss der Arbeiten wird das Repository wieder freigegeben.

    Nach Abschluss der Wiederherstellung wird das Projekt einen zeitlichen Ablauf der Ereignisse publizieren. Als gute Vorsichtsmaßnahme empfehlen die Entwickler, bei der Nutzung von Git jeweils die Signaturen des genutzten Codes zu überprüfen. Zu Vermutungen oder Erkenntnissen zu dem oder den Tätern und deren Vorgehensweise und Motiven liegen noch keine Aussagen vor.