< 3-letter政府机构>通过他们的git存储库为项目添加一个后门,而没有人注意到这些变化?
例如,如果恶意黑客获得了Ruby's git的贡献者访问权限,那么他们是否会以提及恶意代码被忽视的方式搞乱提交历史记录?
答案 0 :(得分:2)
git不会自动从遥控器拔出,用户需要从遥控器拨打git pull
以获取新代码,这不是“没有人注意到更改。”
另外,用户可以通过git log <remote-name>
和git show <remote-name>
检查遥控器以查看这些更改。如果他们发现恶意变更,他们总是可以还原它。
答案 1 :(得分:1)
就修改项目的变更历史而言,这将是困难的; git使用可以视为更改的“文件系统快照”的内容。 git用于区分这些更改快照的标识符是160位SHA1哈希值。
虽然加密安全,但git中没有使用它来防止恶意重写存储库,而是用于基本数据完整性。如果更改了先前的提交,则SHA1提交标识符将更改,但理论上,可以找到冲突。
在git中,SHA1哈希的加密特性不是本身的安全机制,而是奖金
之前提到的问题是关于恶意更改的linux内核。你可以阅读它here。