GitHub이 침해되어, 공격자가 GitHub 내부 3800개 저장소에 접근함

Hacker News 의견들

• 개발자 한 명이 읽기 전용이라도 3,800개가 넘는 내부 저장소에 접근할 수 있었던 이유가 궁금함
  • 좋다는 뜻은 아니지만, 개발자가 전체 코드에 읽기 전용 접근권을 갖는 건 꽤 흔한 편이라고 봄. 이번 일을 포함한 최근 소식들 때문에 기준이 조금씩 바뀌기 시작할 수도 있음
    실제로 어떤 저장소까지 읽기 전용 접근을 허용해야 하는지 정하는 건 생각보다 쉽지 않음. 시스템 구조와 각 단계의 동작을 이해하려고 직접 기여하지 않는 여러 저장소를 자주 훑어봄. 회사에도 특정 문제와 관련된 저장소를 찾아주는 내부 Claude 스킬이 있는데, 개인 GitHub 접근 권한을 CLI로 사용하는 방식임. 더 안전하게 만들 수는 있지만, 수년간 쌓인 기본값을 바꾸려면 시간이 걸릴 것임
  • 개발자가 모든 소스 코드에 읽기 전용으로 접근할 수 있는 건 꽤 흔하다고 봄
    진짜 궁금한 건 GitHub에 왜 3,800개의 내부 저장소가 있느냐는 것임
• 이제 99.9% 가동 시간의 시대로 들어가는 건가?
  이 정도 가용성이면 회사들이 계속 클라우드에 남아 있을까?
• GitHub가 침해됐고 3,800개 내부 저장소가 노출됨
• 그래서 2단계 인증을 켜는 게 정말 중요함. 비밀번호를 즉시 바꾸는 게 좋음
• GitHub는 이런 일에 대해 누군가가 크게 신경 써줄 마지막 장소에 가까움. 누가 직불카드를 훔쳐 허락 없이 돈을 빼가면 은행에 가서 설명하면 되지만, GitHub가 들고 있는 건 코드임
  회사에서 어떤 정보가 도난당했다면 그 회사와 다시 일하지 않거나, 퇴사하거나, 인사팀에 가는 식으로 처리되는 게 현실임
  게다가 GitHub는 내 컴퓨터에서 돌아감. 사람들은 HTTPS 아이콘을 너무 심각하게 받아들이지만, 그 자체는 별것 아님. 실제 웹사이트보다 브라우저 종류가 더 많고, 거의 매일 브라우저 업데이트를 받음. 그런 업데이트마다 미리 정의된 도메인과 함께 HTTPS 아이콘이 딸려옴