主要观点：开源的 TruffleHog 可发现 GitHub 上所有删除和私有提交，能访问已删除叉、已删除仓库甚至私有仓库的数据且永久可访问，这对使用 GitHub 的组织是巨大攻击向量，引入新术语 CFOR（跨叉对象引用），展示了访问已删除叉、已删除仓库和私有仓库数据的示例及方式，包括通过直接访问提交哈希等，GitHub 对此有相关政策，研究得出一些结论如只要有一个叉存在，提交数据就会永久存在等，且这些问题在其他版本控制系统产品中也存在。

关键信息：

• TruffleHog 可发现 GitHub 上各种提交。
• 可访问多种类型仓库的数据且永久保存。
• CFOR 漏洞及相关示例。
• 访问数据的方式如通过提交哈希。
• GitHub 关于仓库的政策。
• 研究得出的几个结论。

重要细节：

• 常见 GitHub 工作流中叉的操作及数据可访问性。
• 短 SHA-1 值可用于暴力破解获取提交哈希。
• GitHub 暴露公共事件 API 端点可查询提交哈希。
• GitHub 对仓库架构及相关情况的文档说明。
• 研究重点在 GitHub 但其他系统也有类似问题。