GitHub 代碼泄露問題

安全研究人員發(fā)現(xiàn)，即使從 GitHub 刪除代碼倉庫，包括公開或私有的，這些代碼及其分叉副本的數(shù)據(jù)仍然可以被訪問。

這種現(xiàn)象被稱為跨分叉對象引用（CFOR），它允許一個(gè)代碼倉庫的分叉訪問另一個(gè)分叉的敏感數(shù)據(jù)，包括來自私有及已刪除分叉的數(shù)據(jù)。

研究人員通過創(chuàng)建和分叉代碼倉庫，展示了即便刪除了初始倉庫，未同步的數(shù)據(jù)依然可以通過分叉訪問。

GitHub 的母公司微軟表示，這是一個(gè)有意為之的特性，而非 BUG。他們解釋說，這一設(shè)計(jì)符合官方文檔中的描述，且效果也完全符合預(yù)期。

安全專家表示，這種懸空提交概念存在于任何 git 平臺(tái)中，包括 Gitbucket、GitLab、GitHub 等。

即使與代碼樹之間的連接被切斷，這些提交仍會(huì)被保留，并且只要掌握能夠直接訪問這些內(nèi)容的標(biāo)識(shí)符，就仍可正常下載相關(guān)數(shù)據(jù)。

安全專家建議 GitHub 考慮不在分叉之間共享分叉池，并建立新功能，允許用戶永久刪除提交。

（舉報(bào)）