删除GitHub代码竟等于任何人可永久访问!微软坚称不是BUG:有意为之
7月28日消息,据媒体报道,Truffle Security研究人员发现,即使在GitHub上删除了代码仓库,包括公开或私有的,这些代码及其分叉副本的数据仍然可以被访问。
安全研究员Joe Leon提出了一个新术语“跨分叉对象引用”(CFOR),描述这种一个代码仓库的分叉可以访问另一分叉的敏感数据的情况,包括那些来自私有及已删除分叉的数据。
研究人员通过创建和分叉代码仓库,展示了即便删除了初始仓库,未同步的数据依然可以通过分叉访问。
GitHub的这一特性在社交媒体和论坛上引发了激烈讨论,许多用户对此表示担忧,并呼吁GitHub采取措施解决这一问题。
然而,GitHub的母公司微软对此回应称,这是一个有意为之的“特性”,并非BUG,GitHub方面表示,这一设计符合官方文档中的描述,且效果也完全符合预期。
Truffle Security公司联合创始人兼CEO Dylan Ayrey解释称,这是所谓的“悬空提交”,是git的一个概念,并非GitHub的初始功能。
悬空提交可以存在于任何git平台中,包括Gitbucket、GitLab、GitHub等。
Ayrey还指出,即使与代码树之间的连接被切断,这些提交仍会被保留,并且只要掌握能够直接访问这些内容的标识符,就仍可正常下载相关数据。
他建议GitHub考虑不在分叉之间共享分叉池,并建立新功能,允许用户永久删除提交。
-
支付宝碰一下就能取快递:覆盖全国超10万个驿站快递柜
最近,全国很多社区、校园、写字楼、乡村快递点都能用支付宝碰一下取快递了。据支付宝介绍,目前菜鸟驿站、兔喜驿站、丰巢快递柜、云柜快递柜、递管家驿站、快宝驿站等超10万个驿站或快递柜已上线支付宝“碰一下·
-
百度反思!李彦宏承认不是所有的game百度都能玩赢
近日,有媒体从多位内部人士处了解到,百度创始人李彦宏最近在内部季度高管会上,做了一场主题为《求真务实》的演讲,并将原文向全员公开。据报道,李彦宏这次在季度高管会上,一改常态,非常罕见地系统反思了百度的
-
《明末:渊虚之羽》新实机女BOSS引热议:羽姐太带派了!
类魂新作《明末:渊虚之羽》今日确认将亮相7月11日至13日举办的上海BW展会。届时,游戏制作人夏思源将亲临现场,与玩家面对面交流游戏背后的创作理念与开发故事。同时,展会现场还将提供全新完整章节的实机试
关注公众号:拾黑(shiheibook)了解更多
友情链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
安全、绿色软件下载就上极速下载站:https://www.yaorank.com/
![小夏选手 出道22周年纪念日[心] ](https://imgs.knowsafe.com:8087/img/aideep/2021/10/3/099f14db518199b1c69d6ad169527a88.jpg?w=250)
关注网络尖刀微信公众号
