1Password راه اندازی commit های امضا شده را برای کاربران GitHub آسان تر می کند کلیدهای SSH. commit های امضا شده تأیید می کنند که شخصی که کد را تغییر می دهد همان کسی است که می گوید.
وقتی کد در یک مخزن git بررسی می شود، تغییر معمولاً با نام شخصی که کد را ارسال می کند ذخیره می شود. در حالی که نام committer معمولاً توسط مشتری کاربر تنظیم می شود، می توان آن را به راحتی به هر چیز دیگری تغییر داد، که این امکان را برای کسی فراهم می کند که پیام ها و نام های commit را جعل کند. این می تواند پیامدهای امنیتی داشته باشد اگر توسعه دهندگان واقعاً ندانند چه کسی یک قطعه کد خاص را ارسال کرده است.
جان بامبنک، شکارچی اصلی تهدید در Netenrich میگوید مشکل اساسی و حلنشده زیربنای همه مشکلات امنیت سایبری در اینترنت، فقدان ابزارهای خوب برای اصالت واقعی یک انسان زنده است. آسان کردن امضای رمزنگاری یا تعهدات امضا شده به سازمانها این امکان را میدهد تا سطح بالاتری از اطمینان در مورد هویت افراد داشته باشند.
او میافزاید: «بدون این، شما به متعهد اعتماد میکنید که آنها میگویند، و فردی که این تعهد را میپذیرد، تعهد را از نظر مشکلات میفهمد و بررسی میکند.»
بامبنک خاطرنشان می کند که از آنجایی که مجرمان به طور جدی به دنبال کد در کتابخانه های منبع باز هستند، توانایی احراز هویت واقعی افرادی که کد را فشار می دهند به این معنی است که پنجره استفاده از مخازن آنها برای به خطر انداختن سایر سازمان ها بسیار کوچکتر است.
مدیریت کلید ساده تر و مقیاس پذیر
مایکل اسکلتون، مدیر ارشد عملیات امنیتی در Bugcrowd، خاطرنشان میکند که مدیریت کلیدهای SSH و GPG برای امضای تعهدات روی چندین ماشین مجازی و میزبان توسعهدهنده میتواند فرآیندی دستوپاگیر و گیجکننده باشد. پیش از این، توسعه دهندگان علاقه مند به تعهدات امضا شده مدیریت شده با جفت کلید، آنها را در حساب های GitHub خود و در ماشین های محلی خود ذخیره می کردند.
او میگوید: «این میتواند پذیرش انبوه تعهدات امضا شده را دشوار کند و توانایی سازمان شما را برای استفاده حداکثری از این ویژگی مختل کند. "با داشتن مدیریت 1Password از طرف شما، می توانید به راحتی این کلیدها را مستقر کنید و پیکربندی ها را بدون دردسر به روز کنید."
از آنجایی که 1Password کلیدهای SSH را ذخیره می کند، مدیریت کلیدها در چندین دستگاه آسان تر و کمتر گیج کننده می شود. اسکلتون می گوید، این ویژگی همچنین مدیریت کلیدهای امضای GitHub را برای توسعه دهندگان به شیوه ای مقیاس پذیرتر ممکن می کند.
اسکلتون میگوید: «با حل این مشکل، سازمانها میتوانند با استفاده از حالت هوشیاری GitHub، تعهدات امضا شده را بر روی مخازن خود اعمال کنند، که به محدود کردن توانایی نامهای committer برای ارائه نادرست و در نتیجه سوء تفسیر کمک میکند.
با commit های امضا شده، تشخیص اینکه چه زمانی یک commit امضا نشده است آسان تر است. همچنین می توان یک خط مشی امنیتی برنامه ایجاد کرد که تعهدات بدون امضا را رد کند.
نحوه تنظیم تعهدات امضا شده
در اینجا نحوه راه اندازی GitHub برای استفاده از کلیدهای SSH برای تأیید وجود دارد.
- به Git 2.34.0 یا جدیدتر آپدیت کنید، سپس به https://github.com/settings/keys و “new SSH key” و سپس “Signing Key” را انتخاب کنید.
- از آنجا، به کادر "Key" بروید و آرم 1Password را انتخاب کنید، "Create SSH Key" را انتخاب کنید، عنوانی را پر کنید و سپس "Create and Fill" را انتخاب کنید.
- برای آخرین مرحله، "Add SSH Key" را انتخاب کنید و بخش GitHub از فرآیند کامل می شود.
هنگامی که کلید در GitHub راه اندازی شد، برای پیکربندی خود به 1Password روی دسکتاپ خود بروید gitconfig فایل را با کلید SSH خود امضا کنند.
- گزینه "پیکربندی" را در بنر نمایش داده شده در بالا انتخاب کنید، جایی که پنجره ای باز می شود که می توانید یک قطعه را به آن اضافه کنید. gitconfig فایل.
- گزینه “Edit Automatically” را انتخاب کنید تا 1Password به روز رسانی شود gitconfig فایل با یک کلیک
- کاربرانی که به پیکربندی پیشرفته تری نیاز دارند می توانند قطعه را کپی کرده و کارها را به صورت دستی انجام دهند.
هنگامی که به GitHub فشار می آورید، یک نشان تأیید سبز برای مشاهده آسان تأیید به جدول زمانی اضافه می شود.
