GitHub 是評論全球最大的代碼托管平臺，全球各地的被用科技公司和開發者們在上面托管項目或源代碼，項目維護者也可以開啟評論功能讓其他開發者提交建議或反饋問題。冒充南京玄武高級資源上門服務vx《189=4143》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達

不過目前 GitHub 被發現了一個嚴重的微軟問題網設計問題，有攻擊者利用項目評論功能冒充微軟等公司來分發惡意軟件，托管并且這種情況已經持續有一段時間了。惡意

為什么說是設計問題：

以微軟托管在 GitHub 上的 vcpkg 項目為例，這個項目開啟了 issues 反饋，解決用戶提交一個新的藍點南京玄武高級資源上門服務vx《189=4143》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達 issue 后其他用戶可以在下面評論。

評論功能支持附帶文件，評論例如當上傳一個名為 Cheat.Lab.2.7.2.zip 的被用文件時，GitHub 將會這個文件生成永久 URL 并附加在 vcpkg 項目下。冒充

即便用戶刪除評論這個文件也會被保留下來并繼續提供永久訪問，微軟問題網甚至用戶都不需要真提交評論，托管直接上傳文件就好了。惡意

這樣這個惡意文件就可以通過 https://github [.] com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip 下載。

由于這個地址看起來就像是微軟官方的文件，因此在一些場合中更容易釣魚，這也是為什么黑客看中 GitHub 這個功能并進行濫用的原因。

項目所有者不知情：

正如上文提到的那樣，上傳一個文件不用真發布評論，或者發布后立即刪除就可以獲取這個文件的永久鏈接，而項目的維護者是不知道自己的項目路徑下還存在這種惡意軟件的。

從某些方面來說這可能也會對一些公司的聲譽造成影響，問題是這個問題還不太容易解決，因為它屬于 GitHub 的設計問題，GitHub 顯然不能一刀切直接關閉這個功能。

所以后續 GitHub 如何解決問題還是個難題，可能需要專門新建一個臨時文件路徑來托管這些文件，這樣不影響使用但也不會托管在其他路徑下。