GitHub 隐藏提交中的秘密:2.5 万美元赏金的故事
2025-07-03
白帽黑客 Sharon Brizinov 利用 GitHub Archive 和 GitHub 事件 API,发现 GitHub 即使在开发者强制推送后也会保留被删除的提交。通过扫描 2020 年以来所有强制推送事件,他找到了价值 2.5 万美元的漏洞赏金。他与 Truffle Security 合作开源了一个工具 Force Push Scanner,帮助用户扫描其 GitHub 组织中隐藏的提交,查找泄露的密钥等敏感信息。这个故事说明了即使是看似被删除的提交也可能包含安全风险,强调了代码安全的重要性。
科技
GitHub 安全