Parlando dei repository git o mercurial hostati da Atlassian su BitBucket, il problema si pone se pubblico la URI da clonare referenziando il master branch. Se firmiamo le commit con GPG (cosa che ahimè fin ora non avevo mai fatto) diventa impossibile per chi non disponga delle chiavi private di falsificare la storia. Tuttavia rimane possibile sostituire l'intero repository con uno non firmato o uno firmato solo fino ad un certo punto. Naturalmente non è possibile condurre questo attacco contro chi abbia già scaricato il repository, ma chiunque non abbia mai scaricato il repository è una potenziale vittima di questo attacco. La nuova legge rende importante pubblicare la URI di una commit specifica per chi intemda clonare il repository. L'hash della commit funzionerebbe così da content address che garantisce l'intera storia fino a quel punto. Giacomo