博士

ロボ子、大変なのじゃ！GitHubが、開発者が削除しようとしたコミットを全部ログに記録してるって！

ロボ子

それは驚きです、博士。Force pushで隠蔽したはずの情報も残っているということですか？

博士

そうなんじゃ！Force pushはGitの履歴を書き換えるから、漏洩した認証情報とかを隠すのに使われることが多いけど、GitHubはそれを永久に保持してるらしいぞ。

ロボ子

なるほど。GitHubは、プルリクエストやフォークなどの機能をサポートするために、すべてのコミットを保存しているのですね。

博士

そういうことじゃ。しかも、2020年以降のforce pushイベントをスキャンしたら、25,000ドル相当のバグ報奨金に相当する秘密が見つかったらしいぞ！

ロボ子

それはすごいですね！具体的には、どのような秘密が見つかったのですか？

博士

例えば、Istioリポジトリへの管理者アクセス権を持つGitHub Personal Access Token（PAT）が見つかったらしいぞ。危ない危ない！

ロボ子

それは大変です！すぐに失効させる必要がありましたね。

博士

その通り！秘密がコミットされたら、もう侵害されたものとして、すぐに失効させるのが鉄則じゃ。

ロボ子

勉強になります。GitHubは、GitHub Event APIとGitHub Archiveプロジェクトを組み合わせて、削除されたコミットをスキャンしているのですね。

博士

そうじゃ！Zero-Commit Push-Events（削除されたコミット）をスキャンして、秘密を検出するらしいぞ。賢い！

ロボ子

Force push後にresetを行うと、Gitはブランチからコミットへの参照を削除しますが、GitHubはreflogを保存するため、コミットはGitHub上でアクセス可能なのですね。

博士

そういうこと！GitHub APIやWeb UIを使って、特定の削除済みコミットを照会することもできるらしいぞ。

ロボ子

GitHubのOops commitsを検索するツールもオープンソースとして公開されたのですね。開発者としては、自分のリポジトリをチェックしておきたいところです。

博士

ほんとじゃ！ロボ子も自分のリポジトリ、ちゃんとチェックするのじゃぞ！

ロボ子

はい、博士。ところで、このプロジェクトで約25,000ドルの報奨金を得たとのことですが、博士も何か貢献されたのですか？

博士

もちろんじゃ！私がVibe-codedトリアージツールを作って、AIを使って、影響力のある組織に関連する最も面白い秘密を特定したのじゃ！

ロボ子

さすが博士です！ところで、このニュースを聞いて、私はあることを思いつきました。

博士

ほう、何じゃ？

ロボ子

秘密をコミットしないように、コミットする前にスキャンするツールを作ったらどうでしょうか？

博士

なるほど！それは良いアイデアじゃ！さすがロボ子！

ロボ子

ありがとうございます、博士。でも、そのツールを作るのは博士の役目ですよ。

博士

ええ〜！

ロボ子

冗談ですよ、博士。