И это не просто какой-то пограничный сценарий. Вот, что произошло у меня недавно:Я отправил уязвимость уровня P1 крупной технологической компании, показав, что она случайно закоммитила приватный ключ к аккаунту GitHub сотрудника, имеющего высокий уровень доступа к GitHub всей организации. Компания немедленно удалила репозиторий, но поскольку к нему создавались форки, я всё равно смог получить через форк доступ к коммиту, содержащему конфиденциальные данные, хотя форк никогда не синхронизировался с исходным upstream-репозиторием.Из этого следует сделать вывод, что любой код, закоммиченный в публичный репозиторий, будет доступенвечно, пока существует хотя бы один форк этого репозитория.Но и это ещё не всё.
Комментарий недоступен
Нет, не только, форки открывают доступ к коммитам основного репозитория
Чел, ты можешь ахапками сгружать секьюрные данные из закрытых проектов на гитхабе и доставать ключи к апихам крупных провайдеров. Условно, прорешал быстро на видеокарте хэш, получил доступ к ручкам управления инфраструктуры Боинга и наделал там делов. Хуевая ситуация на самом деле. А самое печальное что это спроектировали заранее, что бы к майкам не было претензий со стороны спецслужб. С одной стороны они не приделах, заинтересованные сами вскрывают репозитории без их участия, а с другой ну кто угодно может.
P.S. Про Боинг условность, но ситуация вполне реалистичная
У многих компаний полноценные приложения - форки внутреннего движка/фреймворка.
Каво Чаво? Где шитпост?