Il blocco dell'hash del commit significa vincolare una dipendenza di terze parti, come una GitHub Action, a uno SHA di commit esatto invece di seguire un tag mutevole come v1 o il nome di un branch. Poiché un hash di commit non cambia mai, il flusso di lavoro recupererà sempre lo stesso codice revisionato, a meno che i manutentori non aggiornino intenzionalmente il riferimento.
Questo è importante nella sicurezza informatica perché i tag in movimento possono essere riassegnati a monte senza alcuna modifica nel file del flusso di lavoro, creando un rischio silenzioso nella supply chain. In CI/CD, ciò può consentire a un'azione compromessa di alterare le build, rubare segreti o manomettere le fasi di rilascio. I difensori usano il pinning al commit per ridurre i cambiamenti imprevisti, lo combinano con token a privilegi minimi e rivedono gli aggiornamenti prima di passare a un hash più recente. Gli aggressori preferiscono le dipendenze non bloccate perché possono ereditare fiducia attraverso un percorso di automazione legittimo.