GitHub “已验证”提交可被改写为新哈希且不破坏签名
新研究显示,已签名 Git 提交的哈希并非软件行业所普遍认为的独一无二标识。无需签名密钥,攻击者即可基于同一文件、作者和日期生成新的提交,Github 仍会显示”已验证”。这意味着依赖哈希的封禁列表、去重机制、来源日志和可复现构建记录都存在被绕过的风险。
新研究显示,已签名 Git 提交的哈希并非软件行业所普遍认为的独一无二标识。无需签名密钥,攻击者即可基于同一文件、作者和日期生成新的提交,Github 仍会显示”已验证”。这意味着依赖哈希的封禁列表、去重机制、来源日志和可复现构建记录都存在被绕过的风险。
OpenMandriva Linux 项目宣布,在贡献者之间发生纠纷后,该项目成为了一起内部破坏未遂行为的目标,破坏行为包括清空 GitHub 仓库以及推送可能损害用户系统的空软件包。
GitHub 正式发布 npm 12 版本,默认禁用安装脚本,并弃用旨在绕过双因素认证(2FA)的细粒度访问令牌(GATs)。此举旨在减少供应链攻击面,并引导开发者迁移至可信发布(OIDC)或带人工审批的分阶段发布模式。