Исследователи из Truffle Security обнаружили, что данные из удаленных репозиториев GitHub не обязательно удаляются
Исследователи из Truffle Security выявили возможность доступа к данным удалённых репозиториев на GitHub: данные, включая API-ключи, могут оставаться доступными даже после удаления репозиториев или их форков. Этот процесс, описанный Джо Леоном из Truffle Security, назван Cross Fork Object Reference (CFOR).
Проблема заключается в так называемых «висячих коммитах» — сохранённых изменениях, которые остаются в системе даже после удаления ветки репозитория. Эти коммиты могут быть доступны, если у пользователя есть соответствующий криптографический хеш.
GitHub, принадлежащий Microsoft, рассматривает этот вопрос не как уязвимость, а как особенность дизайна. Согласно заявлению компании, это поведение «работает как ожидалось», что подтверждается их документацией. Эта ситуация уже была предметом обсуждений в 2018 году, но с тех пор политика GitHub не изменилась.
Концепция висячих коммитов является фундаментальной для git, как пояснил Дилан Эйри, соучредитель и генеральный директор Truffle Security. Висячий коммит сохраняет историю изменений репозитория и может существовать на любой платформе git, включая Bitbucket, GitLab и GitHub.
Эта особенность git позволяет пользователям продолжать доступ к старым версиям кода даже после удаления связей с этим кодом в публичном репозитории. Это представляет собой как возможности, так и риски, особенно когда речь идет о чувствительных данных, случайно зафиксированных в публичных репозиториях.
Что такое Git и чем он отличается от Github:
