Al ver una solicitud de extracción en GitHub (o el equivalente en cualquier otra plataforma), la interfaz web muestra una diferencia de los cambios para que los revise.
La revisión de la diferencia es obviamente vulnerable al error humano, ya que los cambios maliciosos se pueden colar (consulte mortenson / pr-sneaking ).
¿Existe alguna técnica de ofuscación que no pueda ser detectada razonablemente por un humano que realiza una revisión exhaustiva del código en la interfaz web de GitHub?
Un ejemplo es un ataque de homoglyph, que podría hacer que una serie de personajes se muestren a un humano como un valor, mientras que en realidad sea otro.
También podría haber una vulnerabilidad / error en el motor de diferencias o en la pantalla de salida que podría aprovecharse para ocultar o enmascarar código malicioso en una solicitud de extracción.
Para aclarar, no estoy preguntando sobre la capacidad de un humano para revisar con precisión los cambios en el código, estoy preguntando sobre posibles vulnerabilidades de suplantación / enmascaramiento que un atacante podría explotar para engañar a un humano para que acepte una solicitud de extracción aparentemente legítima.