Donnerstag früh landete der mit „GitHub Source Code Leak“ betitelte Blogpost auf Position 1 der Social News Plattform Hacker News. Eine rhetorische Frage dient als Untertitel: „Was denkt GitHub wirklich über Open Source?“ Ein verdächtiger Commit im offiziellen DMCA-Repository habe zum Leak des kompletten Quellcodes der Code-Hosting-Plattform geführt, schreibt der Autor weiter.

Das DMCA-Repository auf GitHub dient der Speicherung sogenannter DMCA-Takedown-Meldungen. Erst im Oktober war auf Basis des Digital Millenium Copyright Acts (DMCA) das Repository der Python-Library Youtube-dl gesperrt worden. Die Community hatte mit einem Shitstorm reagiert und Tausende Forks des Repositories veröffentlicht.

Nur eine Stunde nachdem der Blogpost auf Hacker News gelandet war, meldete sich GitHub-CEO Nat Friedman persönlich zu Wort: GitHub sei nicht gehackt worden. Ja, vor einigen Monaten seien Teile des GitHub-Enterprise-Server-Quellcodes versehentlich an Kunden ausgeliefert worden. Dieser Code werde gleichwohl mit github.com geteilt. Und ja, es stimme, ein Großteil der Versionsverwaltungsplattform sei in Ruby geschrieben.

Verlinkt wurde im Blogpost relativ offenkundig ein Repo, das fälschlicherweise als das DMCA-Repository ausgegeben wird. Auch die dort verlinkten „verdächtigen Commits“ stammen offensichtlich nicht von Friedman selbst.

Git mache es einfach, sich via unsignierter Commits als jemand anderes auszugeben, gibt der CEO der Microsoft-Tochter zu. GitHub empfehle deshalb allen Nutzern, ihre Commits zu signieren. Zusätzlich verweist Friedman auf das verified-Label. Auch auf die Nachahmung des DMCA-Repositories wolle GitHub reagieren, künftige Maßnahmen sollen für bessere Erkennbarkeit solcher Nachahmungen sorgen. Bis es soweit ist, bittet Friedman in seiner Thread-Antwort noch um etwas Geduld. „Zusammengefasst“, schließt er seinen Post ab, „ist alles in Butter, die Lage komplett normal und mit der Welt alles in Ordnung“.

In der weiteren Diskussion wird GitHub scharf für den Youtube.dl-Bann kritisiert. „Wäre GitHub ein unabhängiges Unternehmen, das sich für Open Source einsetzt, hätte es sich dann [im Fall des Youtube.dl-Banns] anders verhalten?“, schreibt ein Nutzer in den Replies. GitHubs Mutterkonzern Microsoft ist Mitglied der Record Industry Association of America (kurz RIAA), die die Urheberrechtsbeschwerde gegen das Projekt durchgesetzt hatte.

Ende Oktober hatte Friedman sich selbst verärgert über den Takedown des Projekts gezeigt. „Archivare sind auf Tools wie Youtube-dl angewiesen. GitHub selbst betreibt das Archive Programm und finanziert Projekte wie das Internet Archive“, sagte er dem Online-Magazin Torrentfreak. Das Unternehmen suche bereits nach Wegen, um Entwickler in weiteren DMCA-Fällen proaktiv zu unterstützen und sich aktiver für eine Reform der betreffenden Gesetzgebung einzusetzen.