快科技7月28日消息�,據媒體報道�,Truffle Security研究人員發現���,即使在GitHub上刪除了代碼倉庫��,包括公開或私有的�����,這些代碼及其分叉副本的數據仍然可以被訪問���。mA428資訊網——每日最新資訊28at.com
安全研究員Joe Leon提出了一個新術語“跨分叉對象引用”(CFOR)�����,描述這種一個代碼倉庫的分叉可以訪問另一分叉的敏感數據的情況���,包括那些來自私有及已刪除分叉的數據�����。mA428資訊網——每日最新資訊28at.com
研究人員通過創建和分叉代碼倉庫,展示了即便刪除了初始倉庫���,未同步的數據依然可以通過分叉訪問。mA428資訊網——每日最新資訊28at.com
GitHub的這一特性在社交媒體和論壇上引發了激烈討論��,許多用戶對此表示擔憂���,并呼吁GitHub采取措施解決這一問題�。mA428資訊網——每日最新資訊28at.com
然而,GitHub的母公司微軟對此回應稱�,這是一個有意為之的“特性”����,并非BUG,GitHub方面表示���,這一設計符合官方文檔中的描述,且效果也完全符合預期����。mA428資訊網——每日最新資訊28at.com
Truffle Security公司聯合創始人兼CEO Dylan Ayrey解釋稱,這是所謂的“懸空提交”���,是git的一個概念,并非GitHub的初始功能���。mA428資訊網——每日最新資訊28at.com
懸空提交可以存在于任何git平臺中,包括Gitbucket����、GitLab�、GitHub等����。mA428資訊網——每日最新資訊28at.com
Ayrey還指出,即使與代碼樹之間的連接被切斷�����,這些提交仍會被保留�����,并且只要掌握能夠直接訪問這些內容的標識符�����,就仍可正常下載相關數據。mA428資訊網——每日最新資訊28at.com
他建議GitHub考慮不在分叉之間共享分叉池����,并建立新功能�����,允許用戶永久刪除提交����。mA428資訊網——每日最新資訊28at.com
mA428資訊網——每日最新資訊28at.com
標簽:
津公網安備 12010102000574號