1Password muudab GitHubi kasutajate jaoks allkirjastatud kohustuste seadistamise lihtsamaks SSH võtmed. Allkirjastatud kohustused kinnitavad, et isik, kes teeb koodi muutmise, on see, kes ta end ütleb.
Kui kood registreeritakse git-hoidlasse, salvestatakse muudatus tavaliselt koodi esitaja nimega. Kuigi volitaja nime määrab tavaliselt kasutaja klient, saab seda hõlpsasti muuta millekski muuks, mis võimaldab kellelgi võltsida sõnumeid ja nimesid. Sellel võib olla turvamõju, kui arendajad tegelikult ei tea, kes konkreetse koodilõigu esitas.
Kõigi Interneti küberjulgeolekuprobleemide aluseks olev põhiline lahendamata probleem on heade tööriistade puudumine elava inimese tõeliselt autentseks tuvastamiseks, ütleb Netenrichi peamine ohukütt John Bambenek. Krüptograafilise allkirjastamise või allkirjastatud kohustuste lihtsaks muutmine võimaldab organisatsioonidel olla isiku identiteedi suhtes kõrgem kindlus.
"Ilma selleta usaldate, et kohustuse andja on see, kelleks nad end ütlevad, ja kohustusega nõustuv isik mõistab kohustust ja vaatab kohustuse probleemide osas üle," lisab ta.
Bambenek märgib, et kuna kurjategijad püüavad tõsiselt avatud lähtekoodiga raamatukogudes koodi taga ajada, tähendab see, et koodi suruvate inimeste autentimine on palju väiksem.
Lihtsam skaleeritav võtmehaldus
Bugcrowdi turbeoperatsioonide vanemdirektor Michael Skelton juhib tähelepanu sellele, et SSH- ja GPG-võtmete haldamine kohustuste allkirjastamiseks mitme arendaja virtuaal- ja hostmasina kaudu võib olla tülikas ja segadusttekitav protsess. Varem salvestasid arendajad, kes olid huvitatud võtmepaaridega hallatavatest allkirjastatud kohustustest, need oma GitHubi kontodele ja kohalikesse masinatesse.
"See võib muuta allkirjastatud kohustuste massilise vastuvõtmise keeruliseks, vähendades teie organisatsiooni võimet seda funktsiooni maksimaalselt ära kasutada," ütleb ta. "Kui 1Password seda teie nimel haldab, saate neid võtmeid hõlpsamini juurutada ja konfiguratsioone probleemideta värskendada."
Kuna 1Password salvestab SSH-võtmed, muutub võtmete haldamine mitmes seadmes lihtsamaks ja vähem segadusse. See funktsioon võimaldab hallata ka arendajate GitHubi allkirjastamisvõtmeid skaleeritavamalt, ütleb Skelton.
"Selle probleemi lahendamisel saavad organisatsioonid seejärel GitHubi valvsusrežiimi kasutades oma hoidlates allkirjastatud kohustusi jõustada, aidates piirata volitajate nimede valesti esitamise ja omakorda valesti tõlgendamise võimalust," ütleb Skelton.
Allkirjastatud kohustuste puhul on lihtsam näha, kui kohustus on allkirjastamata. Samuti on võimalik luua rakenduse turvapoliitika, mis lükkab tagasi allkirjastamata kohustused.
Kuidas seadistada allkirjastatud kohustusi
Siit saate teada, kuidas seadistada GitHub kinnitamiseks SSH-võtmeid kasutama.
- Värskendage versioonile Git 2.34.0 või uuemale versioonile, seejärel minge aadressile https://github.com/settings/keys ja valige "uus SSH-võti", seejärel valige "Allkirjastusvõti".
- Sealt liikuge kasti "Võti" ja valige 1Password logo, valige "Loo SSH-võti", täitke pealkiri ja seejärel valige "Loo ja täitke".
- Viimase sammu jaoks valige "SSH-võtme lisamine" ja protsessi GitHubi osa on lõpetatud.
Kui võti on GitHubis seadistatud, jätkake oma töölaual jaotisega 1Password, et seadistada .gitconfig SSH-võtmega allkirjastamiseks.
- Valige ülal kuvatud bänneril suvand "Seadista", kus avaneb aken, mille saate lisada .gitconfig faili.
- Valige suvand "Muuda automaatselt", et 1Password värskendaks .gitconfig faili ühe klõpsuga.
- Täpsemat konfigureerimist vajavad kasutajad saavad koodilõigu kopeerida ja teha asju käsitsi.
Seejärel lisatakse GitHubile tõukudes ajaskaalale roheline kinnitusmärk, mis hõlbustab kinnitamise nähtavust.
