2022年04月08日
科学研究工作人员近期看到了依靠储存库劫持的状况十分广泛,这是一个掩藏的漏洞,容许所有人在客户变更登录名的情形下劫持储存库。这一漏洞类似子域名接手,利用起來非常容易,而且会造成远程控制编码引入。在剖析了这一漏洞的开源项目并归纳了检索他们的依赖关系图后,科学研究工作人员看到有超出70000个开源项目遭受危害,这包含来源于Google、GitHub、Facebook等企业的时兴新项目和架构。为了更好地改善这一漏洞,请保证你的新项目不依赖于GitHub的立即URL或应用依赖关系锁住文档和版本固定不动。