私有數據、刪掉的內容可以永久訪問，GitHub官方：故意設計的

AIGC動態歡迎閱讀

原標題：私有數據、刪掉的內容可以永久訪問，GitHub官方：故意設計的
關鍵字：數據,密鑰,代碼,存在,用戶
文章來源：機器之心
內容字數：0字

內容摘要：

選自trufflesecurity.com
機器之心編譯
機器之心編輯部最近，一個消息震驚開源社區：在 GitHub 上刪掉的內容、私有存儲庫的數據都是可以永久訪問的，而且這是官方故意設計的。
開源安全軟件公司 Truffle Security 在一篇博客中詳細描述了這個問題。Truffle Security 引入了一個新術語：CFOR（Cross Fork Object Reference）：當一個存儲庫 fork 可以訪問另一個 fork 中的敏感數據（包括來自私有和已刪除 fork 的數據）時，就會出現 CFOR 漏洞。
與不安全的直接對象引用類似，在 CFOR 中，用戶提供提交（commit）哈希值就可以直接訪問提交數據，否則這些數據是不可見的。
以下是 Truffle Security 博客原文內容。
訪問已刪除 fork 存儲庫的數據
想象如下工作流程：
在 GitHub 上 fork 一個公共存儲庫；
將代碼提交到你的 fork 存儲庫中；
你刪除你的 fork 存儲庫。那么，你提交給 fork 的代碼應該是不能訪問了對吧，因為你把 fork 存儲庫刪除了。然而它卻永久可

原文鏈接：私有數據、刪掉的內容可以永久訪問，GitHub官方：故意設計的

聯系作者

文章來源：機器之心
作者微信：
作者簡介：