Большой риск безопасности связан с удаленными репозиториями GitHub.
К такому выводу пришли исследователи из Truffle Security. По их словам, удаление не гарантирует как публичному, так и приватному репозиторию ликвидацию его данных, включая конфиденциальную информацию. Их можно достать через форки.
Эксперты назвали эту проблему «Cross Fork Object Reference» (CFOR). Она появляется, когда данные из одного форка остаются доступными через другой, даже если оригинальный удален. Об этом сообщает британский The Register.
В Truffle Security показали, как это происходит. Специалисты создали форк хранилища, установили в нем конфиденциальные данные и удалили форк. После они получили доступ к якобы удаленной информации через оригинальное хранилище. В частности, несинхронизированные данные из форка были доступны после удаления оригинального хранилища.
В GitHub расценили эту ситуацию как особенность. Однако в Truffle Security считают, что GitHub следует пересмотреть свой взгляд.