Исследователи из Truffle Security обнаружили значительный риск безопасности, связанный с удаленными репозиториями GitHub. Несмотря на удаление, будь то публичный или приватный репозиторий, его данные, включая конфиденциальную информацию, например ключи API, по-прежнему могут быть доступны через форки.
Исследователь безопасности Джо Леон назвал эту проблему «Cross Fork Object Reference» (CFOR). CFOR возникает, когда данные из одного форка остаются доступными через другой форк, даже если оригинальный удален.
Truffle Security продемонстрировала это, создав форк хранилища, зафиксировав в нем конфиденциальные данные, удалив форк, а затем получив доступ к якобы удаленным данным через оригинальное хранилище. Далее была продемонстрирована демонстрация того, как несинхронизированные данные из форка могут быть доступны после удаления оригинального хранилища.
GitHub, однако, рассматривает эту ситуацию как особенность, а не ошибку, заявляя, что это задокументированное поведение, присущее сетям форков. Truffle Security утверждает, что GitHub следует пересмотреть свою позицию.