logo
cnb/feedback
Public
51
166
WeChat Login
CodeIssues
199
Pull requests
1
EventsPackagesInsights

公共仓库的(云原生开发)暂存文件安全问题#1156

Resolved
created 2025-07-07
Edit

提供一下 trace id 或 响应头 traceparent?

No response

描述一下重现步骤?更快的确认问题

公共仓库可以通过 git ls-remote https://cnb.cool/xxxx/xxxx 查看所有的分支,同时分支中会存在云原生开发的暂存文件内容。

可以通过 https://cnb.cool/xxxx/xxxx/-/tree/(分支hash) 查看任意公共仓库的暂存文件。

这个可能需要做个提示,可能有些人的环境会在/workspace,存一些key之类的。

added labels
一定是bug,除非不是

我也发现了,这应该算是特性?(玩 MC 玩的)
因为他就是这样实现的。
https://docs.cnb.cool/zh/workspaces/file-keeper.html

但在用户无感知的情况下,产生一个隐式提交,且可被他人访问。
确实存在安全风险,应该提醒一下。

在云开发过程中,不要把密钥文件放到 /workspaces
或者,也可以在 .gitignore 把密钥文件给忽略掉。

晶晶
assigned
阿秋
晶晶
assigned self
晶晶
added labels
已解决:待发布
晶晶
Developer

改为不带票据无法看到隐藏分支,带票据仅能看到自己的隐藏分支

对不起,微信群提完忘记来问了。qwq
感觉解决得很完美。
而且原理不变的话,依然可以用 git push origin -d <refs> 来手动清理不需要的暂存释放空间。

晶晶
Developer

删除和push同理,只能操作自己的隐藏分支

Resolved ISSUE

CodeBuddy Code

NPC
added labels
已解决:已解决
,removed labels
已解决:待发布

CodeBuddy Code

NPC
added labels
已解决:已生效
,removed labels
已解决:已解决

CodeBuddy Code

NPC
referenced ISSUE
#3398 批量改标签任务2
Resolved
Assignee
wenqiuli
(阿秋)
jingjingwu
(晶晶)
Label
一定是bug:除非不是
已解决:已生效
Priority
None yet
Time period
-
Property
Add custom properties to record and label key information
Participant
© 2026 Tencent, Inc. Supported by Tencent Cloud
About Us
Privacy Policy
Terms of Service
SLA
API
Docs
Showcase
Feedback
35/F,Tencent Building,Kejizhongyi Avenue,Nanshan District,Shenzhen
京ICP备11018762号-111
粤公网安备44030002006058号粤公网安备44030002006058号