已删除的GitHub数据竟可“永世”拜候!GitHub回应:正常征象
宁静软件公司Truffle Security提示,即使GitHub上的存储库和分叉数据已被删除,任何人都可以拜候它们,GitHub已确认这一功效关于该平台而言是正常征象。
Truffle宁静研讨员Joe Leon发觉并具体先容了GitHub上已删除和公有的存储库数据是怎样可以被任何人拜候的。更令人担心的是,Leon表现潜伏的打击前言就是如此计划的。
Leon演示了他如安在不到一分钟的时间内分叉一个存储库、向此中提交数据、删除分叉,然后经过原始存储库拜候所谓的已删除提交数据。这约莫会构成宁静成绩,尤其是当GitHub用户不晓得这些数据仍旧可以拜候时。
“你可以拜候GitHub上已删除的分支、已删除的存储库乃至公有存储库中的数据。并且这些数据是永世可用的GitHub晓得这一点,并故意计划成如此,”Leon在博客中写道,“关于一切使用GitHub的用户来说,这是一个宏大的打击前言,因此我们引入了一个新术语:跨分支目标引用(CFOR)。当一个存储库分支可以拜候另一个分支中的敏感数据(包含来自公有和已删除分支的数据)时,就会显现 CFOR毛病。”
Leon增补说,假如用户分叉一个存储库,那么包含敏感数据的提交仍旧可以拜候。因此,任何最少有一个分叉的公用存储库“约莫永久都可拜候”。Leon还测试了公有存储库,发觉了另一个贫苦的形式。他演示了任何人都可以从公有内里版本拜候提交数据,由于存储库通常也有公用版本。
“不幸的是,这种事情流程是用户和构造开发开源软件最常用的办法之一。因此,奥密数据和私密信息约莫会在构造的公用GitHub存储库中被偶然间流出。”Leon在博客上先容说。
Leon列出了该功效固有计划的一些隐含涵义。他告诫说,只需存在一个分支,对该存储库网络的任何提交都将永世存在于GitHub上。大大多GitHub用户不了解存储库的事情原理,这会带来严峻的宁静隐患。Leon还给出发起:宁静地修复GitHub公用存储库上流出密钥的唯一办法是改换密钥。”
Truffle Security以为 GitHub应该重新思索其态度,由于平凡用户渴望在数据宁静方面临公用和公家存储库有所区分,但这并不总是准确的。别的,人们还希冀删除利用应该删除提交数据,而内幕也并非总是云云。
面临就这一成绩,GitHub的一位发言人声称:“GitHub努力于观察所报告的宁静成绩。现在已得悉这份报告,并已确认这是分叉网络事情办法所固有的预期和纪录举动。您可以在我们的文档中阅读有关删除或变动可见性怎样影响存储库分叉的更多信息。”
