C
月内に
GitHubの「Verified」署名付きコミットにおいて、署名を維持したままコミットハッシュを書き換えられる脆弱性
📌 一言でいうと
GitHubの「Verified」署名付きコミットにおいて、署名を維持したままコミットハッシュを書き換えられる脆弱性が報告されました。攻撃者は署名鍵を持たなくても、同一内容のファイルを保持したまま新しいハッシュを持つ「検証済み」コミットを作成可能です。これにより、ハッシュベースのブロックリストやプロバナンスログを回避して、悪意のあるミラーサイト等でなりすましを行うリスクがあります。
🔍該当判定
- GitHubでコミット署名(Verifiedバッジ)を利用して、コードの正当性を確認している
- 特定のコミットハッシュ(ID)をブラックリストに登録して、不正なコードの混入を防いでいる
- ビルド記録や監査ログにコミットハッシュを保存し、それを唯一の識別子として管理している
- GitHub以外のミラーサイトからコードを同期し、署名を確認して本物であると判断している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
コミットハッシュのみを信頼してコードの同一性を保証せず、署名内容やタグ、リリース管理などの多層的な検証プロセスを導入することを検討してください。