VMTech
+381 11 4183 54024/7 Razgovarajmo
← Svi Instagram insajti VMTECH · INSTAGRAM

GitHub Verified-komitovi mogu biti prepisani u nove heševe bez gubitka potpisa

GitHub Verified-komitovi mogu biti prepisani u nove heševe bez gubitka potpisa

GitHub Verified-komitovi mogu biti prepisani u nove heševe bez gubitka potpisa

Kolege, želim da skrenem pažnju na vest iz oblasti sajberbezbednosti: istraživanje je pokazalo da se potpisani commit na GitHub-u može prepisati u novi heš, uz zadržan status Verified.

Šta to znači:
• sadržaj, autor i datum ostaju isti;
• menja se samo predstava potpisa, a time i heš;
• blokade po hešu, deduplikacija i provenance logovi mogu propustiti ovakav slučaj.

Važno: ovo nije zaobilaženje provere potpisa niti collision SHA-1/SHA-256. Reč je o malleability potpisa i o tome kako forge tumači Verified.

Zašto je ovo važno: ako sistem veruje samo verified commit hešu, isti kod može izgledati kao različiti objekti.

Kako Vi ovo uzimate u obzir u lancu snabdevanja?
#sajberbezbednost #GitHub #DevSecOps #SupplyChain

Aktuelni pokazatelji
0Pregledi
0Doseg
0Sviđanja
0Komentari
0Sačuvano
0Deljenja

Poslednji komentari

Još nema komentara.

Instagram

GitHub Verified-komitovi mogu biti prepisani u nove heševe bez gubitka potpisa

Otvorite objavu na Instagramu ↗