Open1
Impostor Commits の検出方法
Shunsuke Suzuki
Impostor Commit は GitHub の Fork Network を悪用し、 Fork したリポジトリに悪意のあるコミットを生成してあたかも元のリポジトリの安全なコミットであるかのように見せかける攻撃手法。
あるコミットが Impostor Commit かどうかを識別する GitHub API は存在しない。
しかし、 zizmor には Impostor Commit を検出する機能があるのでどうやって実現しているか調べた。
zizmor は clank という別の OSS のロジックを参考にしているらしい。
幸いこちらは Go で実装されているので読みやすい。
コードを読んだところ以下のようなロジックなようだ。
- 元のリポジトリの全 branch, tag を取得する
- branch (の HEAD), tag と指定した SHA を compare two commits API で比較
- branch 内のコミットなら compare できてかつ diff の status が behind か identical になるはず。これを満たす branch か tag が見つからなければ impostor commit
ここで検出された commit は必ずしも fork の commit とは限らない。
というのも、 PR をマージして feature branch を削除したら、 feature branch のコミットは上のロジックでは impostor commit になる。
恐らく原理上このようなコミットが元のリポジトリに属しているか fork で生成されたものなのか判別する方法はない。