GitHub 删除代码等于“任何人均可永久访问”！微软回应：我们有意为之

文章预览

编译 | 核子可乐、Tina 删除理论上意味着数据不再可访问，但实际上它变成了永久可访问，并且不受你控制。微软则坚称这是一个 feature，而非 bug。 普通用户将私有仓库和公共仓库的分离视为安全边界，并理所当然地认为位于私有仓库中的任何数据都无法被公共用户访问。不幸的是，在 GitHub 上，这并不总是正确的。此外，删除行为意味着数据的销毁。但实际上删除一个仓库或分叉并不意味着你提交数据真的被删除了。 Truffle Security 的研究人员们发现，已被删除的 GitHub 代码仓库（公开或私有）及仓库的已删除副本（分叉）仍有可能继续存在。 该公司安全研究员 Joe Leon 在本周三的一份咨询报告中表示，这种可能通过 API 密钥等方式继续访问已删除仓库中数据的情况属于安全风险。他还提出一条全新术语来描述这项漏洞，即跨分叉对象引用（CFOR ………………………………