据媒体报道,Truffle Security研究人员发现,即使在GitHub上删除了代码仓库,包括公开或私有的,这些代码及其分叉副本的数据仍然可以被访问。这一发现引发了广泛的安全担忧和讨论。
安全研究员Joe Leon提出了一个新术语“跨分叉对象引用”(CFOR),描述这种一个代码仓库的分叉可以访问另一分叉的敏感数据的情况,包括那些来自私有及已删除分叉的数据。研究人员通过创建和分叉代码仓库,展示了即便删除了初始仓库,未同步的数据依然可以通过分叉访问。
这一特性在社交媒体和论坛上引发了激烈讨论,许多用户对此表示担忧,并呼吁GitHub采取措施解决这一问题。然而,GitHub的母公司微软对此回应称,这是一个有意为之的“特性”,并非BUG。GitHub方面表示,这一设计符合官方文档中的描述,且效果也完全符合预期。
Truffle Security公司联合创始人兼CEO Dylan Ayrey解释称,这是所谓的“悬空提交”,是git的一个概念,并非GitHub的初始功能。悬空提交可以存在于任何git平台中,包括Gitbucket、GitLab、GitHub等。Ayrey指出,即使与代码树之间的连接被切断,这些提交仍会被保留,并且只要掌握能够直接访问这些内容的标识符,就仍可正常下载相关数据。
Ayrey建议GitHub考虑不在分叉之间共享分叉池,并建立新功能,允许用户永久删除提交。他认为,尽管这是git的一个特性,但平台可以采取额外的措施来保护用户的隐私和数据安全。
此事提醒开发者在使用GitHub等平台时,应充分了解平台的功能和特性,并采取必要的措施保护自己的代码和数据安全。同时,平台也有责任在技术进步和用户数据保护之间找到平衡点,确保用户的权益得到充分保障。