Admin
Администратор
Новое исследование показало, что подписанные коммиты в Git могут быть переписаны с новыми хешами без нарушения подписи. Это позволяет злоумышленникам создавать дубликаты коммитов с идентичным содержимым, но разными хешами, которые GitHub по-прежнему помечает как 'Verified'. Проблема затрагивает все схемы подписи, поддерживаемые GitHub, включая GPG и S/MIME. Уязвимость не связана с коллизиями хешей, а вызвана отсутствием нормализации подписей перед проверкой. Разработчикам рекомендуется полагаться не только на хеш коммита, но и на дополнительные методы проверки целостности кода.