GitHubのセキュリティホールを攻略したユーザ | gihyo.jp3月初旬、GitHubがサイトの脆弱性を突かれてしまう騒動がありました。 Egor Homakov氏が、RailsアプリケーションでMass Assignment脆弱性として知られる問題に対して、より安全なアプローチを求めるチケットをGitHubのRailsプロジェクトに作成したことが発端です。 当初、このチケットはすぐにRejectされてしまい議論が進まなかったようですが、Mass Assignment脆弱性がGitHubにも存在していることを発見したHomakov氏は、危険性をアピールするためにGitHubの脆弱性を利用して未来の日付を持つチケットを作成したり、コミット権限のないRailsリポジトリにファイルをコミットしたり、といった手段に出たようです。 GitHub側では問題を確認した直後からHomakov氏のアカウントを一時停止して問題の修正にあたりましたが、この際、アカウントを停
