GitHub 提交元数据被伪造，开发者需警惕

关键要点

研究人员在星期五报告了一种软件，这种技术可能让威胁行为者欺骗开发者使用潜在的恶意代码。

在一篇中，Checkmarx 的研究人员提到，攻击者可以利用伪造和伪装 GitHub提交的元数据的能力，来欺骗用户，引导他们使用被污染的仓库。

Checkmarx 的研究人员表示，虽然 GitHub提供了一种验证每个提交背后身份的解决方案，但这需要开发者的主动参与。他们建议开发者应为提交签名并开启警惕模式，这将有助于让代码生态系统更加安全。

提交是 GitHub 的基本构建块之一。类似于编辑过的文件，提交记录了一个或多个文件的更改。每个提交都会被分配一个称为 SHA（散列值）的唯一
ID，以标识特定的更改、修改的时间和修改人。提交还包含元数据，而真正的问题在于，研究人员指出，威胁行为者可以伪造这些元数据。

在当今时代，快速灵活的云应用开发必须将开源作为软件开发生命周期的一部分，Checkmarx 的供应链安全负责人 Tzachi “Zack”
Zornstain 表示。

Zornstain说：“这将责任转移给我们这个行业，以帮助我们的同行开发者以最安全、透明的方式选择合适的开源项目。重要的是要揭示攻击者可能藏匿的地方，共同努力维护生态系统的安全。”

Synopsys 网络安全研究中心的首席安全策略师 Tim Mackey 表示，信任代码作者已成为开源开发中较为复杂的问题。Mackey指出，这不仅仅是账户伪造的问题，更涉及到贡献者的真实身份。

“即便提交被签名，且开启了警惕模式，评估提交的意图仍然需要一种信任水平，而很少有组织愿意花时间去审查，”Mackey说。“这就创造了软件消费者与提交者之间的信任关系，而一旦存在隐性信任，攻击者在适当条件下就会利用这种信任。”

附注 : 设立良好的安全实践是保障开源项目和整个软件生态系统安全的关键。开发者应密切关注代码的来源和变化，确保代码库的完整性。