GitHub 是全球最大的程式碼託管平台，全球各地的科技公司和開發者在上面託管專案或原始程式碼，專案維護者也可以開啟評論功能讓其他開發者提交建議或回饋問題。不過目前GitHub 被發現了一個嚴重的設計問題，有攻擊者利用專案評論功能冒充微軟等公司來分發惡意軟體，而這種情況已經持續有一段時間了。

為什麼說是設計問題：

以微軟託管在GitHub 上的vcpkg 專案為例，這個專案開啟了issues 回饋，用戶提交一個新的issue 後其他用戶可以在下面評論。

評論功能支援附帶文件，例如當上傳一個名為Cheat.Lab.2.7.2.zip 的文件時，GitHub 將會這個文件產生永久URL 並附加在vcpkg 專案下。

即使用戶刪除評論這個文件也會被保留下來並繼續提供永久訪問，甚至用戶都不需要真提交評論，直接上傳文件就好了。

這樣這份惡意檔案就可以透過https://github [.] com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip 下載。

由於這個地址看起來就像是微軟官方的文件，因此在一些場合中更容易釣魚，這也是為什麼黑客看中GitHub 這個功能並進行濫用的原因。

專案所有者不知情：

正如上文提到的那樣，上傳一個文件不用真發布評論，或者發布後立即刪除就可以獲取這個文件的永久鏈接，而項目的維護者是不知道自己的項目路徑下還存在這種惡意軟體的。

從某些方面來說這可能也會對一些公司的聲譽造成影響，問題是這個問題還不太容易解決，因為它屬於GitHub 的設計問題，GitHub 顯然不能一刀切直接關閉這個功能。

所以後續GitHub 如何解決問題還是個難題，可能需要專門新建一個臨時文件路徑來託管這些文件，這樣不影響使用但也不會託管在其他路徑下。