Утечка данных на GitHub: удаленные и приватные репозитории под угрозой
Исследователи Truffle Security обнаружили, что данные из удаленных и приватных репозиториев GitHub могут быть восстановлены через коммиты в форках.
Представьте: вы удалили репозиторий или держали его в приватном режиме, думая, что данные под замком. А нет. Оказывается, любой желающий может получить к ним доступ через форки. И это не баг, а фича — так задумано.
В чем суть? Когда вы форкаете публичный репозиторий, GitHub сохраняет все коммиты, включая те, что были сделаны до удаления исходного репозитория. Даже если оригинал удален или стал приватным, данные остаются в форке. А форк может быть у кого угодно.
Исследователи Truffle Security провели эксперимент: создали репозиторий, отправили секретный коммит, удалили его, а затем нашли этот коммит в форке. Работает.
Что это значит для разработчиков? - Никогда не храните секреты (токены, пароли) в репозиториях, даже временно. - Если случайно закоммитили секрет — считайте, что он скомпрометирован. Немедленно отзывайте и меняйте. - Используйте инструменты вроде `git filter-branch` или `BFG Repo-Cleaner`, но помните: форки могут сохранить историю.
Как защититься? Лучшая практика — не допускать попадания секретов в репозиторий. Используйте .gitignore, pre-commit хуки и секрето-сканеры. А если секрет уже утек — меняйте его без промедления.
Комментарий студии METABYTE: Эта ситуация — отличное напоминание о том, что безопасность должна быть встроена в процесс разработки. Наши специалисты помогут настроить CI/CD с автоматической проверкой секретов, чтобы вы спали спокойно.