快科技7月28日消息,據媒體報道,Truffle Security研究人員發現,即使在GitHub上刪除代碼倉庫,包括公開或私有的,這些代碼及其分叉副本的數據仍然可以被訪問。
安全研究員Joe Leon提出一個新術語跨分叉對象引用”(CFOR),描述這種一個代碼倉庫的分叉可以訪問另一分叉的敏感數據的情況,包括那些來自私有及已刪除分叉的數據。
研究人員通過創建和分叉代碼倉庫,展示即便刪除初始倉庫,未同步的數據依然可以通過分叉訪問。
GitHub的這一特性在社交媒體和論壇上引發激烈討論,許多用戶對此表示擔憂,並呼籲GitHub采取措施解決這一問題。
然而,GitHub的母公司微軟對此回應稱,這是一個有意為之的特性”,並非BUG,GitHub方面表示,這一設計符合官方文檔中的描述,且效果也完全符合預期。
Truffle Security公司聯合創始人兼CEO Dylan Ayrey解釋稱,這是所謂的懸空提交”,是git的一個概念,並非GitHub的初始功能。
懸空提交可以存在於任何git平臺中,包括Gitbucket、GitLab、GitHub等。
Ayrey還指出,即使與代碼樹之間的連接被切斷,這些提交仍會被保留,並且隻要掌握能夠直接訪問這些內容的標識符,就仍可正常下載相關數據。
他建議GitHub考慮不在分叉之間共享分叉池,並建立新功能,允許用戶永久刪除提交。