Hacker News 의견

• 2018년에 HackerOne에 보고했으나 GitHub는 의도된 동작이라며 수정하지 않았음. 결론: 개인 포크 대신 저장소를 복사해서 사용할 것
• GitHub는 모든 것을 공개하고 변경 불가능하게 만드는 것에 집착함. 예를 들어, 댓글을 삭제하려면 저장소 소유자에게 실제 신분증을 이메일로 보내야 함
• "비공개" 기능에 대한 이러한 문제를 사용자가 알 필요가 없으며, GitHub가 이를 버그가 아닌 기능으로 간주하는 것은 보안에 대한 무관심을 보여줌. 비공개 저장소를 "목록에 없는" 저장소로 부르는 것이 더 적절함
• 비공개 저장소와 비공개 포크를 사용하다가 저장소를 공개로 전환하면 포크도 공개됨. GitHub가 의도된 동작이라고 주장할 수 있지만, 저장소와 포크를 동시에 공개하도록 강제해야 함
• 이러한 동작은 다크 패턴처럼 보이며, 사람들의 생계가 걸려 있음에도 불구하고 GitHub는 신경 쓰지 않음. 이는 고의적인 부인 가능성과 불명확한 이용 약관이 평판 손실보다 더 가치 있기 때문임
• 이 문제를 최소화하는 댓글에 놀람. GitHub를 오랫동안 사용해왔지만 이러한 결과를 예상하지 못했으며 불안감을 느낌. 기사를 직접 읽어보기를 권장함
• 이 문제는 새로운 것이 아님. 많은 사람들이 이전에 이 문제를 발견했음
• GitHub의 OSPO에서 공개 포크의 비공개 미러를 유지하기 위한 오픈 소스 GitHub App을 개발 중임. 이번 주에 베타 릴리스를 예정하고 있음
• GitHub Events 아카이브가 취약한 저장소의 SHA1 해시를 노출시키는 방식이 진정한 취약점임. 네트워크 전체를 검색하여 삭제된 비공개 저장소에 접근할 수 있음
• 비공개 데이터가 공개 데이터에 의존할 수 있는 방식이 문제임. 예를 들어, 비공개 커밋이 공개 커밋 C에 의존하는 경우, 공개 저장소에서 C가 삭제되면 GitHub는 이를 유지해야 함. 그렇지 않으면 비공개 커밋이 깨짐
• 모든 커밋은 GitHub에 제출된 후 영원히 살아남으며, 한 번 공개된 커밋은 항상 커밋 해시를 통해 접근 가능함