1Password está facilitando a los usuarios de GitHub configurar compromisos firmados usando Llaves SSH. Las confirmaciones firmadas verifican que la persona que realiza el cambio de código es quien dice ser.
Cuando el código se registra en un repositorio de git, el cambio generalmente se guarda con el nombre de la persona que envía el código. Si bien el nombre del confirmador generalmente lo establece el cliente del usuario, se puede cambiar fácilmente a cualquier otra cosa, lo que hace posible que alguien falsifique los mensajes y nombres de confirmación. Esto puede tener implicaciones de seguridad si los desarrolladores no saben quién envió un código en particular.
El problema fundamental sin resolver que subyace a todos los problemas de seguridad cibernética en Internet es la falta de buenas herramientas para autenticar verdaderamente a un ser humano vivo, dice John Bambenek, principal cazador de amenazas en Netenrich. Facilitar la firma criptográfica, o las confirmaciones firmadas, permite a las organizaciones tener un mayor nivel de seguridad sobre la identidad de la persona.
“Sin esto, estás confiando en que el autor de la confirmación es quien dice ser, y la persona que acepta la confirmación comprende y revisa la confirmación en busca de problemas”, agrega.
Bambenek señala que debido a que los delincuentes buscan código en bibliotecas de código abierto en serio, poder autenticar verdaderamente a las personas que envían código significa que la ventana para usar sus repositorios para comprometer a otras organizaciones es mucho más pequeña.
Gestión de claves más fácil y escalable
Michael Skelton, director sénior de operaciones de seguridad en Bugcrowd, señala que administrar claves SSH y GPG para firmar confirmaciones en múltiples máquinas host y virtuales de desarrollador puede ser un proceso engorroso y confuso. Anteriormente, los desarrolladores interesados en compromisos firmados administrados con pares de claves los almacenaban en sus cuentas de GitHub y en sus máquinas locales.
“Esto puede dificultar la adopción masiva de compromisos firmados, lo que perjudica la capacidad de su organización para aprovechar al máximo esta función”, dice. "Al hacer que 1Password administre esto en su nombre, puede implementar más fácilmente estas claves y actualizar las configuraciones sin problemas".
Debido a que 1Password almacena las claves SSH, se vuelve más fácil y menos confuso administrar las claves en varios dispositivos. Esta característica también permite administrar las claves de firma de GitHub para los desarrolladores de una manera más escalable, dice Skelton.
“Al resolver este problema, las organizaciones pueden buscar hacer cumplir las confirmaciones firmadas en sus repositorios utilizando el modo vigilante de GitHub, lo que ayuda a limitar la posibilidad de que los nombres de las confirmaciones se tergiversen y, a su vez, se malinterpreten”, dice Skelton.
Con confirmaciones firmadas, es más fácil ver cuándo no se ha firmado una confirmación. También es posible crear una política de seguridad de la aplicación que rechace confirmaciones sin firmar.
Cómo configurar confirmaciones firmadas
Aquí se explica cómo configurar GitHub para usar claves SSH para la verificación.
- Actualice a Git 2.34.0 o posterior, luego vaya a https://github.com/settings/keys y seleccione "nueva clave SSH", seguido de "Clave de firma".
- Desde allí, navegue hasta el cuadro "Clave" y seleccione el logotipo de 1Password, seleccione "Crear clave SSH", complete un título y luego seleccione "Crear y completar".
- Para el último paso, seleccione "Agregar clave SSH" y la parte de GitHub del proceso estará completa.
Una vez que la clave esté configurada en GitHub, vaya a 1Password en su escritorio para configurar su .gitconfig archivo para firmar con su clave SSH.
- Seleccione la opción "Configurar" en el banner que se muestra en la parte superior, donde se abrirá una ventana con un fragmento que puede agregar al .gitconfig archivo.
- Seleccione la opción "Editar automáticamente" para que 1Password actualice la .gitconfig archivo con un clic.
- Los usuarios que necesiten una configuración más avanzada pueden copiar el fragmento y hacer las cosas manualmente.
Luego, se agregará una insignia de verificación verde para facilitar la visibilidad de la verificación a la línea de tiempo cuando ingrese a GitHub.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
