Un commit firmado y verificado en GitHub puede duplicarse con un hash distinto sin perder la marca de confianza
La señal
Una investigación de Carnegie Mellon muestra que un commit firmado y marcado como “Verified” en GitHub puede duplicarse con un hash distinto sin que la firma deje de ser válida. Quien no tiene la llave privada de firma puede lograrlo.
El supuesto que se rompe
La industria del software asume que el hash de un commit firmado es un identificador único e inmutable: si se bloquea ese hash, se bloquea ese código. La investigación muestra que se puede generar una versión con el mismo contenido pero un hash distinto, y GitHub la sigue marcando como verificada.
Qué observar
Si los procesos de seguridad de la organización dependen de bloquear código malicioso por el hash exacto de un commit, esa defensa tiene un punto ciego. Vale la pena preguntar qué tan expuestas están las cadenas de suministro de software que confían en esa garantía.