微软回应：删除GitHub代码也能被永久获取，强调此举非BUG而是故意设计

新标360快讯7月28日消息，据报道，Truffle Security的研究团队发现，即便用户在GitHub上删除了其代码库，无论是公开还是私有，这些代码及其衍生版本的数据依然能够被访问。

安全专家Joe Leon引入了一个新概念“跨分叉对象引用”（CFOR），用以说明一个仓库的分叉能接触到另一个分叉中的敏感数据，包括那些来自已删除和私有分叉的内容。

为证明这一现象，研究人员创建并分叉了一些代码仓库，表明即使原始仓库被删除，未同步的数据依然能够通过分叉访问。

此事在社交平台和相关论坛上引起了热烈的讨论，许多用户对此表示担忧，并呼吁GitHub采取相应的解决措施。

不过，GitHub的母公司微软对此表示，这是一个故意设计的“特性”，并不是BUG，GitHub方面称这一设计与官方文档的描述相符，且其效果也如预期。

Truffle Security的联合创始人及首席执行官Dylan Ayrey解释，这被称为“悬空提交”，属于git的一个概念，并不是GitHub的独特功能。

这种悬空提交可以出现在任何git平台上，包括Gitbucket、GitLab以及GitHub等。

Ayrey补充说，即使与代码树的连接被切断，这些提交依旧会被保存，并且只要掌握了能够直接访问这些提交的标识符，相关数据依然可被下载。

他还建议GitHub应考虑不要在分叉之间共享分叉池，并增加新功能，让用户能够永久删除提交。

Tags： 代码  GitHub 

提示：本站文章来源于网络或投稿