允许使用 git clone 配置污迹和清洁过滤器有哪些安全风险

问题描述 投票:0回答:1

我正在 GitHub 上托管的 git 存储库中使用 Jupyter Notebook。我使用 clean 和 smudge 过滤器来防止 git 跟踪输出和元数据中的某些片段。我在自述文件中包含了设置它们的说明...

git config filter.notebook.clean <command>
git config filter.notebook.smudge "cat"

...但是如果它们可以自动设置并使用 git 进行跟踪,那就太好了。

在尝试执行此操作时,我遇到了评论,建议允许使用

git clone
安装过滤器会带来安全风险。

那么,允许在

git clone
上设置污迹和清洁过滤器会带来哪些安全风险?

git security git-filter
1个回答
0
投票

允许

git clone
执行由您正在克隆的存储库定义的过滤器意味着克隆行为将允许在您无法控制的计算机上执行任意命令。即使您检查了代码并信任存储库,您也永远无法完全确定在使用执行恶意操作的过滤器命令进行克隆之前没有推送新的提交。

好吧,99% 的情况下,您可能会在以任何方式克隆存储库之后立即执行 

npm install
或类似的操作,这实际上确实允许任意代码在您的计算机上运行通过设计。这是一个安全漏洞,过去已被利用并取得了良好的效果。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.