يسهّل 1Password على مستخدمي GitHub إعداد الالتزامات الموقعة باستخدام مفاتيح SSH. تتحقق الالتزامات الموقعة من أن الشخص الذي يقوم بتغيير الرمز هو الشخص الذي يقول إنه هو.
عند إيداع الرمز في مستودع git ، يتم عادةً حفظ التغيير باسم الشخص الذي يرسل الرمز. بينما يتم عادةً تعيين اسم الملتزم بواسطة عميل المستخدم ، إلا أنه يمكن تغييره بسهولة إلى أي شيء آخر ، مما يجعل من الممكن لشخص ما أن ينتحل رسائل وأسماء الالتزام. يمكن أن يكون لهذا تداعيات أمنية إذا لم يعرف المطورون فعليًا من أرسل جزءًا معينًا من التعليمات البرمجية.
يقول جون بامبنيك ، صائد التهديدات الرئيسي في Netenrich ، إن المشكلة الأساسية التي لم يتم حلها والتي تكمن وراء جميع مشكلات الأمن السيبراني على الإنترنت هي الافتقار إلى الأدوات الجيدة لتوثيق حياة إنسان حي. إن تسهيل التوقيع المشفر ، أو الالتزامات الموقعة ، يتيح للمؤسسات الحصول على مستوى أعلى من التأكيد بشأن هوية الشخص.
ويضيف: "بدون هذا ، فأنت تثق في أن الملتزم هو من يقولون إنه هو ، والشخص الذي يقبل الالتزام يفهم ويراجع الالتزام بالمشاكل".
يلاحظ بامبينيك أنه نظرًا لأن المجرمين يسعون وراء الكود في مكتبات مفتوحة المصدر بجدية ، فإن القدرة على مصادقة الأشخاص الذين يدفعون الكود تعني أن نافذة استخدام مستودعاتهم للتغلب على المنظمات الأخرى أصغر بكثير.
إدارة مفاتيح أسهل وقابلة للتطوير
يشير مايكل سكيلتون ، كبير مديري العمليات الأمنية في Bugcrowd ، إلى أن إدارة مفاتيح SSH و GPG لتوقيع الالتزامات عبر العديد من الأجهزة الافتراضية والمضيفة للمطورين يمكن أن تكون عملية مرهقة ومربكة. في السابق ، كان المطورون المهتمون بالتعهدات الموقعة تدار من خلال أزواج المفاتيح المخزنة في حساباتهم على GitHub وعلى أجهزتهم المحلية.
"يمكن أن يجعل هذا التبني الجماعي للالتزامات الموقعة أمرًا صعبًا ، مما يضعف قدرة مؤسستك على تحقيق أقصى استفادة من هذه الميزة ،" كما يقول. "من خلال جعل 1Password يدير هذا نيابةً عنك ، يمكنك بسهولة نشر هذه المفاتيح وتحديث التكوينات بدون متاعب."
نظرًا لأن 1Password يخزن مفاتيح SSH ، يصبح إدارة المفاتيح عبر أجهزة متعددة أسهل وأقل إرباكًا. يقول سكيلتون إن هذه الميزة تجعل من الممكن أيضًا إدارة مفاتيح توقيع GitHub للمطورين بطريقة أكثر قابلية للتوسع.
يقول سكيلتون: "من خلال حل هذه المشكلة ، يمكن للمؤسسات أن تتطلع إلى فرض الالتزامات الموقعة على مستودعاتها باستخدام الوضع اليقظ في GitHub ، مما يساعد على الحد من القدرة على تحريف أسماء المتعهدين وبالتالي إساءة تفسيرها".
من خلال الالتزامات الموقعة ، من الأسهل معرفة ما إذا لم يتم توقيع الالتزام. من الممكن أيضًا إنشاء سياسة أمان للتطبيق ترفض الالتزامات غير الموقعة.
كيفية إعداد الالتزامات الموقعة
فيما يلي كيفية إعداد GitHub لاستخدام مفاتيح SSH للتحقق.
- قم بالتحديث إلى Git 2.34.0 أو إصدار أحدث ، ثم انتقل إلى https://github.com/settings/keys وحدد "مفتاح SSH جديد" ، متبوعًا بتحديد "مفتاح التوقيع".
- من هناك ، انتقل إلى مربع "Key" وحدد شعار 1Password ، وحدد "Create SSH Key" ، واملأ عنوانًا ، ثم حدد "Create and Fill".
- للخطوة الأخيرة ، حدد "Add SSH Key" ، واكتمل جزء GitHub من العملية.
بمجرد إعداد المفتاح في GitHub ، انتقل إلى 1Password على سطح المكتب لتكوين ملف .gitconfig ملف للتوقيع باستخدام مفتاح SSH الخاص بهم.
- حدد خيار "تكوين" في اللافتة المعروضة في الأعلى ، حيث سيتم فتح نافذة بها مقتطف يمكنك إضافته إلى .gitconfig ملف.
- حدد خيار "التحرير تلقائيًا" ليقوم 1Password بتحديث ملف .gitconfig ملف بنقرة واحدة.
- يمكن للمستخدمين الذين يحتاجون إلى تكوين أكثر تقدمًا نسخ المقتطف والقيام بالأشياء يدويًا.
ستتم إضافة شارة تحقق خضراء لتسهيل رؤية التحقق إلى المخطط الزمني عند الضغط على GitHub.
