Github プルリクの添付画像はprivateでも認証なしで誰でも参照可能です

Uncategorized

以前の現場でタイトルの事象があった。

プルリク(プルリクエスト)に修正前後の添付画像を貼ってたんだが、プライベートリポジトリでもURLを知ってれば誰でも参照可能。

ちょっと、ビックリしますよね!!

違う現場で、プルリクに画像貼ってて、この事象を共有したのでブログにも書く。

(忘れないために)

Githubのドキュメントにも書いてある

ちゃんとGithubのドキュメントにも書いてあった。

しかもWarningで。

Attaching files – GitHub Docs

Warning: If you add an image or video to a pull request or issue comment, anyone can view the anonymized URL without authentication, even if the pull request is in a private repository. To keep sensitive media files private, serve them from a private network or server that requires authentication. For more information on anonymized URLs see “About anonymized URLs“.

(Deepl翻訳)

ご注意プルリクエストや課題コメントに画像や動画を追加した場合、そのプルリクエストがプライベートリポジトリにある場合でも、認証なしで誰でも匿名化されたURLを閲覧することができます。機密性の高いメディアファイルを非公開にするには、プライベートネットワークや認証を必要とするサーバーから配信してください。匿名化 URL の詳細については、「匿名化 URL について」を参照してください。

f:id:ksakae1216:20220116123731j:plain

Githubのプルリクに画像は貼らない(特に新機能)

そもそも添付画像のURLが漏洩しなければ問題ないですが、この事を知ってしまった以上、プルリクに画像を貼るのはやめた方が良いと思います。

特に新機能は。

既存のバグ修正くらいなら貼っても良いけど、その判断を入れるくらいならそもそも貼らない方がおすすめ。

ということで画像は、認証必要な場所(コンフルやesa)に置いて、そのURLをプルリクに貼れば、誰でも画像を参照することは防げますね。

コメント

タイトルとURLをコピーしました