GitHub “已验证”提交可被改写为新哈希且不破坏签名
新研究显示,已签名 Git 提交的哈希并非软件行业所普遍认为的独一无二标识。无需签名密钥,攻击者即可基于同一文件、作者和日期生成新的提交,Github 仍会显示”已验证”。这意味着依赖哈希的封禁列表、去重机制、来源日志和可复现构建记录都存在被绕过的风险。
新研究显示,已签名 Git 提交的哈希并非软件行业所普遍认为的独一无二标识。无需签名密钥,攻击者即可基于同一文件、作者和日期生成新的提交,Github 仍会显示”已验证”。这意味着依赖哈希的封禁列表、去重机制、来源日志和可复现构建记录都存在被绕过的风险。