Uma nova pesquisa revela que o hash de um commit assinado no Git não é tão único quanto se pensava. Um atacante pode criar um segundo commit com os mesmos arquivos, autor e data, além de uma assinatura válida, fazendo com que o GitHub ainda o classifique como ‘Verificado’. Isso representa um risco significativo, pois sistemas que bloqueiam commits ruins por hash podem ser contornados, permitindo que um conteúdo malicioso seja reintroduzido sob um novo hash. O estudo, conduzido por Jacob Ginesin da Carnegie Mellon University, destaca a ‘maleabilidade de hash’, onde a assinatura de um commit pode ser alterada sem modificar o código. O GitHub não normaliza as assinaturas antes de verificá-las, o que permite essa vulnerabilidade. Embora não haja um CVE ou uma recomendação imediata para desenvolvedores, a pesquisa sugere que as forges devem implementar a normalização das assinaturas para garantir a segurança. Essa questão é relevante para a segurança do software e a integridade do código, especialmente em ambientes que dependem de commits verificados para garantir a autenticidade do código.
Fonte: https://thehackernews.com/2026/07/github-verified-commits-can-be.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
08/07/2026 • Risco: ALTO
VULNERABILIDADE
Falha em commits assinados do Git pode comprometer segurança
RESUMO EXECUTIVO
A pesquisa de Ginesin destaca uma falha crítica na verificação de commits no GitHub, que pode permitir a reintrodução de código malicioso. A falta de normalização das assinaturas pode comprometer a segurança do software, exigindo atenção das lideranças de segurança.
💼 IMPACTO DE NEGÓCIO
Financeiro
Riscos de comprometer a segurança do software podem levar a perdas financeiras significativas e danos à reputação.
Operacional
Possibilidade de reintrodução de código malicioso sob um novo hash verificado.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
A pesquisa foi publicada em um artigo de cinco páginas.
Indicador
O autor criou uma ferramenta pública para demonstrar as vulnerabilidades.
Contexto BR
Três métodos de maleabilidade de assinatura foram identificados.
Urgência
⚡ AÇÕES IMEDIATAS
1
Revisar políticas de verificação de commits e considerar a implementação de medidas de normalização.
2
Implementar controles adicionais para validar a autenticidade dos commits além do hash.
3
Monitorar continuamente a integridade dos commits e a atividade de repositórios.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a integridade do código e a segurança das operações de desenvolvimento, especialmente em um cenário onde a confiança em commits verificados é fundamental.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD e outras normas de segurança.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).