SHA Pinning Is Not Enough: Poetry Edition
Hace unas semanas, relacionado con el incidente de Trivy, RoseSecurity publicó el artículo "SHA Pinning Is Not Enough", en el que explicaba cómo hacer SHA pinning de una action garantiza que siempre obtienes el mismo commit, pero no garantiza que ese commit sea seguro, ni siquiera que haya formado parte del proyecto upstream.
Esto suena raro la primera vez que lo lees. ¿Cómo va a resolver GitHub un SHA que no está en ninguna branch del repo oficial? La respuesta tiene que ver con cómo GitHub gestiona los forks: un fork comparte el almacenamiento de objetos con el repo padre, y eso significa que cualquier commit en cualquier fork de la red es alcanzable por SHA desde la URL del upstream.
Entonces, pensé: si esto es un comportamiento específico de GitHub y no de GitHub Actions, ¿podría pasar con otras herramientas que permitan apuntar a un commit? ¿Como un gestor de paquetes tipo poetry?