1Password macht es GitHub-Benutzern einfacher, signierte Commits einzurichten SSH-Schlüssel. Signierte Commits bestätigen, dass die Person, die die Codeänderung vornimmt, diejenige ist, für die sie sich ausgibt.
Wenn Code in ein Git-Repository eingecheckt wird, wird die Änderung normalerweise mit dem Namen der Person gespeichert, die den Code einreicht. Während der Name des Committers normalerweise vom Client des Benutzers festgelegt wird, kann er leicht in einen anderen geändert werden, was es jemandem ermöglicht, die Commit-Nachrichten und -Namen zu fälschen. Dies kann Auswirkungen auf die Sicherheit haben, wenn Entwickler nicht wirklich wissen, wer einen bestimmten Codeabschnitt übermittelt hat.
Das grundlegende, ungelöste Problem, das allen Cybersicherheitsproblemen im Internet zugrunde liegt, ist der Mangel an guten Tools, um einen lebenden Menschen wirklich zu authentifizieren, sagt John Bambenek, Principal Threat Hunter bei Netenrich. Die Vereinfachung kryptografischer Signierungen oder signierter Commits ermöglicht es Unternehmen, ein höheres Maß an Gewissheit über die Identität der Person zu haben.
„Ohne dies vertrauen Sie darauf, dass der Committer derjenige ist, für den er sich ausgibt, und dass die Person, die den Commit akzeptiert, den Commit versteht und auf Probleme überprüft“, fügt er hinzu.
Bambenek merkt an, dass, da Kriminelle ernsthaft nach Code in Open-Source-Bibliotheken suchen, die Möglichkeit, Personen, die Code pushen, wirklich zu authentifizieren, bedeutet, dass das Fenster zur Nutzung ihrer Repositories zur Kompromittierung anderer Organisationen viel kleiner ist.
Einfacheres, skalierbares Schlüsselmanagement
Michael Skelton, Senior Director of Security Operations bei Bugcrowd, weist darauf hin, dass die Verwaltung von SSH- und GPG-Schlüsseln zum Signieren von Commits über mehrere virtuelle Entwickler- und Host-Maschinen ein umständlicher und verwirrender Prozess sein kann. Zuvor haben Entwickler, die an signierten Commits interessiert sind, die mit Schlüsselpaaren verwaltet werden, diese in ihren GitHub-Konten und auf ihren lokalen Computern gespeichert.
„Dies kann die Massenakzeptanz von signierten Commits erschweren und die Fähigkeit Ihres Unternehmens beeinträchtigen, das Beste aus dieser Funktion zu machen“, sagt er. „Wenn 1Password dies in Ihrem Namen verwaltet, können Sie diese Schlüssel einfacher bereitstellen und Konfigurationen problemlos aktualisieren.“
Da 1Password die SSH-Schlüssel speichert, wird es einfacher und weniger verwirrend, Schlüssel über mehrere Geräte hinweg zu verwalten. Diese Funktion ermöglicht laut Skelton auch eine skalierbarere Verwaltung von GitHub-Signaturschlüsseln für Entwickler.
„Durch die Lösung dieses Problems können Unternehmen mithilfe des Vigilant-Modus von GitHub signierte Commits über ihre Repositories erzwingen, was dazu beiträgt, die Möglichkeit einzuschränken, dass Committer-Namen falsch dargestellt und damit falsch interpretiert werden“, sagt Skelton.
Bei signierten Commits ist es einfacher zu erkennen, wenn ein Commit nicht signiert wurde. Es ist auch möglich, eine Anwendungssicherheitsrichtlinie zu erstellen, die unsignierte Commits ablehnt.
So richten Sie signierte Commits ein
So richten Sie GitHub für die Verwendung von SSH-Schlüsseln zur Überprüfung ein.
- Aktualisieren Sie auf Git 2.34.0 oder höher und gehen Sie dann zu https://github.com/settings/keys und wählen Sie „neuer SSH-Schlüssel“, gefolgt von der Auswahl von „Signierungsschlüssel“.
- Navigieren Sie von dort zum Feld „Schlüssel“ und wählen Sie das 1Password-Logo aus, wählen Sie „SSH-Schlüssel erstellen“, geben Sie einen Titel ein und wählen Sie dann „Erstellen und ausfüllen“.
- Wählen Sie im letzten Schritt „SSH-Schlüssel hinzufügen“ und der GitHub-Teil des Vorgangs ist abgeschlossen.
Sobald der Schlüssel in GitHub eingerichtet ist, gehen Sie zu 1Password auf Ihrem Desktop, um Ihren zu konfigurieren .gitconfig Datei mit ihrem SSH-Schlüssel signieren.
- Wählen Sie die Option „Konfigurieren“ im oben angezeigten Banner, wo sich ein Fenster mit einem Snippet öffnet, das Sie hinzufügen können .gitconfig Datei.
- Wählen Sie die Option „Automatisch bearbeiten“, damit 1Password die .gitconfig Datei mit einem Klick.
- Benutzer, die eine erweiterte Konfiguration benötigen, können das Snippet kopieren und die Dinge manuell erledigen.
Ein grünes Verifizierungsabzeichen zur einfachen Sichtbarkeit der Verifizierung wird dann zur Zeitleiste hinzugefügt, wenn Sie auf GitHub übertragen.
