GitHub verified commits can be rewritten to new hashes without losing signature

GitHub Verified-komitovi mogu biti prepisani u nove heševe bez gubitka potpisa
Kolege, želim da skrenem pažnju na vest iz oblasti sajberbezbednosti: istraživanje je pokazalo da se potpisani commit na GitHub-u može prepisati u novi heš, uz zadržan status Verified.
Šta to znači:
• sadržaj, autor i datum ostaju isti;
• menja se samo predstava potpisa, a time i heš;
• blokade po hešu, deduplikacija i provenance logovi mogu propustiti ovakav slučaj.
Važno: ovo nije zaobilaženje provere potpisa niti collision SHA-1/SHA-256. Reč je o malleability potpisa i o tome kako forge tumači Verified.
Zašto je ovo važno: ako sistem veruje samo verified commit hešu, isti kod može izgledati kao različiti objekti.
Kako Vi ovo uzimate u obzir u lancu snabdevanja?
#sajberbezbednost #GitHub #DevSecOps #SupplyChain


Latest comments
No comments yet.