开源平台Forgejo安全审计堪忧，研究员首创“胡萝卜披露”倒逼整改

安全研究人员针对Fedora选用的开源代码托管平台Forgejo进行了深度审计，发现包括SSRF、认证机制绕过、加密实践不当以及信息泄露等大量严重漏洞，并成功将其组合利用实现远程代码执行（RCE）。鉴于Forgejo代码库现状糟糕，常规的漏洞修补无异于“打地鼠”，研究员未遵循常规的负责任披露流程，而是采取了激进的“胡萝卜披露”策略：仅公开漏洞利用成功的证据而不提供利用代码。此举意在倒逼厂商进行全面的安全审计与代码重构，而非仅仅修补单一漏洞，以此来挽救软件的声誉。