Falha em commits assinados do Git pode comprometer segurança

Uma nova pesquisa revela que o hash de um commit assinado no Git não é tão único quanto se pensava. Um atacante pode criar um segundo commit com os mesmos arquivos, autor e data, além de uma assinatura válida, fazendo com que o GitHub ainda o classifique como ‘Verificado’. Isso representa um risco significativo, pois sistemas que bloqueiam commits ruins por hash podem ser contornados, permitindo que um conteúdo malicioso seja reintroduzido sob um novo hash. O estudo, conduzido por Jacob Ginesin da Carnegie Mellon University, destaca a ‘maleabilidade de hash’, onde a assinatura de um commit pode ser alterada sem modificar o código. O GitHub não normaliza as assinaturas antes de verificá-las, o que permite essa vulnerabilidade. Embora não haja um CVE ou uma recomendação imediata para desenvolvedores, a pesquisa sugere que as forges devem implementar a normalização das assinaturas para garantir a segurança. Essa questão é relevante para a segurança do software e a integridade do código, especialmente em ambientes que dependem de commits verificados para garantir a autenticidade do código.

Fonte: https://thehackernews.com/2026/07/github-verified-commits-can-be.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
08/07/2026 • Risco: ALTO
VULNERABILIDADE

Falha em commits assinados do Git pode comprometer segurança

RESUMO EXECUTIVO
A pesquisa de Ginesin destaca uma falha crítica na verificação de commits no GitHub, que pode permitir a reintrodução de código malicioso. A falta de normalização das assinaturas pode comprometer a segurança do software, exigindo atenção das lideranças de segurança.

💼 IMPACTO DE NEGÓCIO

Financeiro
Riscos de comprometer a segurança do software podem levar a perdas financeiras significativas e danos à reputação.
Operacional
Possibilidade de reintrodução de código malicioso sob um novo hash verificado.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']

📊 INDICADORES CHAVE

A pesquisa foi publicada em um artigo de cinco páginas. Indicador
O autor criou uma ferramenta pública para demonstrar as vulnerabilidades. Contexto BR
Três métodos de maleabilidade de assinatura foram identificados. Urgência

⚡ AÇÕES IMEDIATAS

1 Revisar políticas de verificação de commits e considerar a implementação de medidas de normalização.
2 Implementar controles adicionais para validar a autenticidade dos commits além do hash.
3 Monitorar continuamente a integridade dos commits e a atividade de repositórios.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a integridade do código e a segurança das operações de desenvolvimento, especialmente em um cenário onde a confiança em commits verificados é fundamental.

⚖️ COMPLIANCE

Implicações para a conformidade com a LGPD e outras normas de segurança.
Status
investigacao
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).