其他用户将能够通过发表评论来确认问题还可以对

应用程序的新版本发表评论。如有必要，可以在评论中附加文件，例如显示错误的屏幕截图或导致应用程序崩溃的文档。这些文件使用上述类型的链接存储在 GitHub 服务器上。 然而，GitHub 有一个特点：如果用户准备评论并上传随附文件，但没有单击“发布”，则该信息将“卡在”草稿中，并且对应用程序所有者和其他平台用户不可见。但是，会创建指向评论中上传的文件的直接链接。它将完全运行，任何点击它的人都会在 GitHub CDN 上收到该文件。

在 GitHub 上添加带有未发布评

论的文件后会生成下载恶意文件的链接 在 GitHub 上添加带有未发布评论的文件后，会生成下载恶意文件的 伯利兹电话号码 链接 同时，发布带评论的文件的存储库的所有者无法删除或锁定该文件。而且他们根本不知道发生了什么！此外，没有设置限制这些文件作为一个整体上传到存储库。唯一的解决方案是完全禁用评论。在 GitHub 上，您最多可以这样做六个月，但这会阻止开发人员分享他们的评论。 GitLab 的评论机制类似。它允许通过草稿评论发布文件。这些文件可通过等链接访问。 然而，这里的问题并不那么严重。只有登录 GitLab 的注册用户才能上传文件。

网络钓鱼活动的礼物 然后网络犯罪

分子会找到一个漏洞来传播非常令人信服的网络钓鱼攻击，因为可以在以 GitHub/GitLab 开头的链 捷克共和国 电话号码列表 接上发布随机文件。由于它们包含受人尊敬的开发人员和流行项目的名称，因此可以将未发布的文件注释保留在任何存储库中。恶意活动已经在微软存储库中留下的“评论”中被发现。它们包含欺诈性游戏应用程序。 更细心的用户可能想知道为什么作弊游戏应用程序会出现在 Microsoft 存储库和“Microsoft”更有可能让受害者放心，他们将不再检查该链接。更聪明的犯罪分子可以更仔细地伪装恶意软件。例如，它可以作为由 GitHub 或 GitLab 分发的应用程序的新版本呈现，并且可以通过该应用程序中的“评论”发布链接。