Πώς να χρησιμοποιήσετε τα κλειδιά SSH και τον 1 κωδικό πρόσβασης για την υπογραφή δεσμεύσεων Git

Το 1Password διευκολύνει τους χρήστες του GitHub να ρυθμίσουν υπογεγραμμένες δεσμεύσεις χρησιμοποιώντας SSH κλειδιά. Οι υπογεγραμμένες δεσμεύσεις επαληθεύουν ότι το άτομο που κάνει την αλλαγή κώδικα είναι αυτό που λέει ότι είναι.

Όταν ο κώδικας ελέγχεται σε ένα αποθετήριο git, η αλλαγή συνήθως αποθηκεύεται με το όνομα του ατόμου που υποβάλλει τον κωδικό. Ενώ το όνομα του committer ορίζεται συνήθως από τον πελάτη του χρήστη, μπορεί εύκολα να αλλάξει σε οτιδήποτε άλλο, γεγονός που καθιστά δυνατό σε κάποιον να παραπλανήσει τα μηνύματα και τα ονόματα δέσμευσης. Αυτό μπορεί να έχει επιπτώσεις στην ασφάλεια εάν οι προγραμματιστές δεν γνωρίζουν πραγματικά ποιος υπέβαλε ένα συγκεκριμένο κομμάτι κώδικα.

Το θεμελιώδες, άλυτο πρόβλημα που κρύβεται πίσω από όλα τα προβλήματα κυβερνοασφάλειας στο Διαδίκτυο είναι η έλλειψη καλών εργαλείων για την αληθινή αυθεντικότητα ενός ζωντανού ανθρώπου, λέει ο John Bambenek, κύριος κυνηγός απειλών στη Netenrich. Κάνοντας εύκολη την κρυπτογραφική υπογραφή ή τις υπογεγραμμένες δεσμεύσεις επιτρέπει στους οργανισμούς να έχουν υψηλότερο επίπεδο διασφάλισης για την ταυτότητα του ατόμου.

"Χωρίς αυτό, εμπιστεύεστε ότι ο committer είναι αυτός που λένε ότι είναι και το άτομο που αποδέχεται τη δέσμευση κατανοεί και εξετάζει τη δέσμευση για προβλήματα", προσθέτει.

Ο Bambenek σημειώνει ότι επειδή οι εγκληματίες επιδιώκουν σοβαρά τον κώδικα σε βιβλιοθήκες ανοιχτού κώδικα, το να είναι σε θέση να πιστοποιούν αληθινά άτομα που πιέζουν κώδικα σημαίνει ότι το παράθυρο για τη χρήση των αποθετηρίων τους για να παραβιάσουν άλλους οργανισμούς είναι πολύ μικρότερο.

Ευκολότερη, κλιμακούμενη διαχείριση κλειδιών

Ο Michael Skelton, ανώτερος διευθυντής λειτουργιών ασφαλείας στο Bugcrowd, επισημαίνει ότι η διαχείριση των κλειδιών SSH και GPG για υπογραφή δεσμεύσεων σε πολλαπλές εικονικές μηχανές προγραμματιστών και μηχανές υποδοχής μπορεί να είναι μια δυσκίνητη και μπερδεμένη διαδικασία. Προηγουμένως, οι προγραμματιστές που ενδιαφέρονταν για υπογεγραμμένες δεσμεύσεις που διαχειρίζονταν με ζεύγη κλειδιών τις αποθήκευαν στους λογαριασμούς τους στο GitHub και στους τοπικούς τους υπολογιστές.

«Αυτό μπορεί να κάνει δύσκολη τη μαζική υιοθέτηση υπογεγραμμένων δεσμεύσεων, μειώνοντας την ικανότητα του οργανισμού σας να αξιοποιήσει στο έπακρο αυτό το χαρακτηριστικό», λέει. "Αν διαχειρίζεται το 1Password για λογαριασμό σας, μπορείτε να αναπτύξετε πιο εύκολα αυτά τα κλειδιά και να ενημερώσετε τις διαμορφώσεις χωρίς προβλήματα."

Επειδή το 1Password αποθηκεύει τα κλειδιά SSH, γίνεται ευκολότερο και λιγότερο μπερδεμένο, η διαχείριση των κλειδιών σε πολλές συσκευές. Αυτή η δυνατότητα καθιστά επίσης δυνατή τη διαχείριση των κλειδιών υπογραφής GitHub για προγραμματιστές με πιο επεκτάσιμο τρόπο, λέει ο Skelton.

«Λύνοντας αυτό το πρόβλημα, οι οργανισμοί μπορούν στη συνέχεια να επιβάλουν υπογεγραμμένες δεσμεύσεις στα αποθετήρια τους χρησιμοποιώντας τη λειτουργία επαγρύπνησης του GitHub, συμβάλλοντας στον περιορισμό της δυνατότητας λανθασμένης παρουσίασης και παρερμηνείας των ονομάτων των committer», λέει ο Skelton.

Με υπογεγραμμένες δεσμεύσεις, είναι ευκολότερο να δούμε πότε μια δέσμευση δεν έχει υπογραφεί. Είναι επίσης δυνατό να δημιουργήσετε μια πολιτική ασφαλείας εφαρμογής που απορρίπτει τις ανυπόγραφες δεσμεύσεις.

Πώς να ρυθμίσετε υπογεγραμμένες δεσμεύσεις

Δείτε πώς μπορείτε να ρυθμίσετε το GitHub ώστε να χρησιμοποιεί κλειδιά SSH για επαλήθευση.

1. Κάντε ενημέρωση σε Git 2.34.0 ή μεταγενέστερη έκδοση και μετά μεταβείτε στο https://github.com/settings/keys και επιλέξτε "νέο κλειδί SSH", ακολουθούμενο από την επιλογή "Κλειδί υπογραφής".
2. Από εκεί, μεταβείτε στο πλαίσιο "Κλειδί" και επιλέξτε το λογότυπο 1Password, επιλέξτε "Δημιουργία κλειδιού SSH", συμπληρώστε έναν τίτλο και, στη συνέχεια, επιλέξτε "Δημιουργία και συμπλήρωση".
3. Για το τελευταίο βήμα, επιλέξτε "Προσθήκη κλειδιού SSH" και το τμήμα GitHub της διαδικασίας έχει ολοκληρωθεί.

Μόλις ρυθμιστεί το κλειδί στο GitHub, προχωρήστε στο 1Password στην επιφάνεια εργασίας σας για να διαμορφώσετε .gitconfig αρχείο για υπογραφή με το κλειδί SSH τους.

1. Επιλέξτε την επιλογή "Διαμόρφωση" στο banner που εμφανίζεται στην κορυφή, όπου θα ανοίξει ένα παράθυρο με ένα απόσπασμα που μπορείτε να προσθέσετε στο .gitconfig αρχείο.
2. Επιλέξτε την επιλογή "Αυτόματη επεξεργασία" για να ενημερώσετε το 1Password .gitconfig αρχείο με ένα κλικ.
3. Οι χρήστες που χρειάζονται πιο προηγμένες ρυθμίσεις μπορούν να αντιγράψουν το απόσπασμα και να κάνουν πράγματα με μη αυτόματο τρόπο.

Ένα πράσινο σήμα επαλήθευσης για εύκολη ορατότητα επαλήθευσης θα προστεθεί στη συνέχεια στο χρονοδιάγραμμα όταν πιέσετε στο GitHub.