如何防止代码提交记录被恶意篡改？

在企业级代码库里，提交记录往往被视作项目演进的唯一可信凭证。一旦记录被篡改，责任链瞬间断裂，追责和回滚都无从谈起。于是，防止恶意篡改不再是“加个权限”这么简单，而是一套从身份认证到不可篡改存储的全链路防护。

核心防护思路

从技术实现的角度看，主要围绕三大要素展开：身份唯一、提交不可否认、审计不可删除。

• 强制使用 GPG/SSH 签名的提交，让每一次 git commit 都携带不可伪造的数字签名。
• 在 Git 服务器端部署 pre-receive 与 update 钩子，拒绝未签名或签名失效的推送。
• 开启仓库的分支保护（强制 Pull‑Request、审查、合并签名），杜绝直接 push --force。
• 使用只读的审计日志存储（如 WORM 磁带、不可变对象存储或区块链式 Merkle 树），确保历史记录一旦写入便不可被覆盖。
• 结合两因素认证和硬件安全模块（HSM）生成私钥，防止密钥泄露导致的签名伪造。

# .git/hooks/pre-receive
#!/usr/bin/env bash
while read oldrev newrev refname; do
    # 检查所有新提交是否都有有效的 GPG 签名
    if ! git rev-list $oldrev..$newrev | xargs -n1 git verify-commit -v >/dev/null; then
        echo "拒绝推送：检测到未签名或签名无效的提交。" >&2
        exit 1
    fi
done
exit 0

案例：硬件安全模块的加持

某金融公司在内部 Git 服务器上集成了 HSM，所有开发者的 GPG 私钥都存放在硬件芯片中，签名过程不走明文。即便攻击者窃取了仓库的 SSH 密钥，也无法生成合法的提交签名。审计日志被写入对象存储的“不可变”桶，任何尝试覆盖的操作都会被系统直接拒绝并触发报警。

“代码的可信度只有在签名本身不可篡改时才有意义。”——国内著名安全专家刘晟