1Password gør det nemmere for GitHub-brugere at konfigurere underskrevne commits ved hjælp af SSH nøgler. Underskrevne tilsagn bekræfter, at den person, der foretager kodeændringen, er den, de siger, de er.
Når koden tjekkes ind i et git-lager, gemmes ændringen normalt med navnet på den person, der indsender koden. Mens committerens navn typisk indstilles af brugerens klient, kan det nemt ændres til noget andet, hvilket gør det muligt for nogen at forfalske commit-meddelelserne og navnene. Dette kan have sikkerhedsmæssige konsekvenser, hvis udviklere faktisk ikke ved, hvem der har indsendt et bestemt stykke kode.
Det grundlæggende, uløste problem, der ligger til grund for alle cybersikkerhedsproblemer på internettet, er manglen på gode værktøjer til virkelig at autentiske et levende menneske, siger John Bambenek, hovedtrusselsjæger hos Netenrich. Ved at gøre kryptografisk signering eller underskrevne commits let giver organisationer mulighed for at have en højere grad af sikkerhed om personens identitet.
"Uden dette stoler du på, at forpligteren er den, de siger, de er, og den person, der accepterer forpligtelsen, forstår og gennemgår forpligtelsen for problemer," tilføjer han.
Bambenek bemærker, at fordi kriminelle for alvor går efter kode i open source-biblioteker, betyder det at være i stand til virkelig at autentificere folk, der skubber kode, at vinduet til at bruge deres arkiver til at kompromittere andre organisationer er meget mindre.
Nemmere, skalerbar nøglestyring
Michael Skelton, seniordirektør for sikkerhedsoperationer hos Bugcrowd, påpeger, at det kan være en besværlig og forvirrende proces at administrere SSH- og GPG-nøgler til signering af commits over flere virtuelle udviklere og værtsmaskiner. Tidligere har udviklere, der er interesseret i underskrevne tilsagn administreret med nøglepar, gemt dem på deres GitHub-konti og på deres lokale maskiner.
"Dette kan gøre massevedtagelse af underskrevne tilsagn vanskelig, hvilket forringer din organisations evne til at få mest muligt ud af denne funktion," siger han. "Ved at lade 1Password administrere dette på dine vegne, kan du nemmere implementere disse nøgler og opdatere konfigurationer problemfrit."
Fordi 1Password gemmer SSH-nøglerne, bliver det nemmere og mindre forvirrende at administrere nøgler over flere enheder. Denne funktion gør det også muligt at administrere GitHub-signeringsnøgler for udviklere på en mere skalerbar måde, siger Skelton.
"Ved at løse dette problem kan organisationer så se efter at håndhæve signerede tilsagn over deres arkiver ved hjælp af GitHubs årvågne tilstand, hvilket hjælper med at begrænse muligheden for, at committer-navne bliver forkert repræsenteret og igen misfortolket," siger Skelton.
Med underskrevne commits er det nemmere at se, når en commit ikke er underskrevet. Det er også muligt at oprette en programsikkerhedspolitik, der afviser usignerede commits.
Sådan opsætter du underskrevne forpligtelser
Sådan konfigurerer du GitHub til at bruge SSH-nøgler til verifikation.
- Opdater til Git 2.34.0 eller nyere, og gå derefter til https://github.com/settings/keys og vælg "ny SSH-nøgle", efterfulgt af at vælge "Signeringsnøgle".
- Derfra skal du navigere til boksen "Nøgle" og vælge 1Password-logoet, vælge "Opret SSH-nøgle", udfylde en titel og derefter vælge "Opret og udfyld".
- Til det sidste trin skal du vælge "Tilføj SSH-nøgle", og GitHub-delen af processen er færdig.
Når nøglen er sat op i GitHub, fortsæt til 1Password på dit skrivebord for at konfigurere din .gitconfig fil for at underskrive med deres SSH-nøgle.
- Vælg indstillingen "Konfigurer" i banneret, der vises øverst, hvor et vindue åbnes med et uddrag, du kan tilføje til .gitconfig fil.
- Vælg indstillingen "Rediger automatisk" for at få 1Password til at opdatere .gitconfig fil med et enkelt klik.
- Brugere med behov for mere avanceret konfiguration kan kopiere kodestykket og gøre tingene manuelt.
Et grønt verifikationsmærke for nem verifikationssynlighed vil derefter blive tilføjet til tidslinjen, når du trykker til GitHub.
