1Password helpottaa GitHubin käyttäjien allekirjoitettujen sitoumusten määrittämistä käyttämällä SSH-avaimet. Allekirjoitetut sitoumukset varmistavat, että koodin muuttaja on se, joka hän sanoo olevansa.
Kun koodi kirjataan git-arkistoon, muutos tallennetaan yleensä koodin lähettäjän nimellä. Vaikka toimittajan nimi on tyypillisesti käyttäjän asiakkaan asettama, se voidaan helposti muuttaa mihin tahansa muuhun, jolloin joku voi huijata toimitusviestejä ja nimiä. Tällä voi olla turvallisuusvaikutuksia, jos kehittäjät eivät itse asiassa tiedä, kuka lähetti tietyn koodin.
Kaikkien Internetin kyberturvallisuusongelmien taustalla oleva perustavaa laatua oleva ratkaisematon ongelma on hyvien työkalujen puute elävän ihmisen aidosti tunnistamiseksi, sanoo John Bambenek, Netenrichin tärkein uhkien metsästäjä. Salauskirjoituksen tai allekirjoitettujen sitoumusten tekeminen helpoksi antaa organisaatioille paremman varmuuden henkilön henkilöllisyydestä.
"Ilman tätä luotat siihen, että sitoutuja on se, jota he sanovat olevansa, ja sitoumuksen hyväksyvä henkilö ymmärtää ja tarkistaa sitoumuksen ongelmien varalta", hän lisää.
Bambenek huomauttaa, että koska rikolliset etsivät tosissaan koodia avoimen lähdekoodin kirjastoissa, koodia työntävien ihmisten todellinen todentaminen tarkoittaa, että ikkuna heidän tietovarastojensa käyttämiselle muiden organisaatioiden vaarantamiseen on paljon pienempi.
Helpompi, skaalautuva avaintenhallinta
Michael Skelton, Bugcrowdin turvallisuustoimintojen johtaja, huomauttaa, että SSH- ja GPG-avaimien hallinta sitoumusten allekirjoittamista varten useilla kehittäjien virtuaalisilla ja isäntäkoneilla voi olla hankala ja hämmentävä prosessi. Aiemmin kehittäjät, jotka olivat kiinnostuneita allekirjoitetuista sitoumuksista, joita hallittiin avainparien avulla, tallensivat ne GitHub-tileilleen ja paikallisille koneilleen.
"Tämä voi vaikeuttaa allekirjoitettujen sitoumusten massakäyttöä, mikä heikentää organisaatiosi kykyä hyödyntää tätä ominaisuutta parhaalla mahdollisella tavalla", hän sanoo. "Kun annat 1Passwordin hallita tätä puolestasi, voit helpommin ottaa nämä avaimet käyttöön ja päivittää kokoonpanot vaivattomasti."
Koska 1Password tallentaa SSH-avaimet, avainten hallinta useissa laitteissa on helpompaa ja vähemmän hämmentävää. Tämä ominaisuus mahdollistaa myös kehittäjien GitHub-allekirjoitusavaimien hallinnan skaalautuvammin, Skelton sanoo.
"Ratkaisemalla tämän ongelman organisaatiot voivat sitten valvoa allekirjoitettujen sitoumusten täytäntöönpanoa arkistoissaan käyttämällä GitHubin valppaustilaa, mikä auttaa rajoittamaan mahdollisuutta, että toimittajien nimet esitetään väärin ja vuorostaan tulkitaan väärin", Skelton sanoo.
Allekirjoitettujen sitoumusten avulla on helpompi nähdä, milloin sitoumusta ei ole allekirjoitettu. On myös mahdollista luoda sovelluksen suojauskäytäntö, joka hylkää allekirjoittamattomat sitoumukset.
Allekirjoitettujen sitoumusten määrittäminen
Näin määrität GitHubin käyttämään SSH-avaimia vahvistamiseen.
- Päivitä Git 2.34.0:aan tai uudempaan ja siirry sitten kohtaan https://github.com/settings/keys ja valitse "uusi SSH-avain" ja valitse sitten "Allekirjoitusavain".
- Siirry sieltä "Avain"-ruutuun ja valitse 1Password-logo, valitse "Luo SSH-avain", täytä otsikko ja valitse sitten "Luo ja täytä".
- Valitse viimeisessä vaiheessa "Lisää SSH-avain", ja prosessin GitHub-osa on valmis.
Kun avain on määritetty GitHubissa, siirry kohtaan 1Password työpöydälläsi määrittääksesi .gitconfig tiedosto allekirjoitettavaksi SSH-avaimellaan.
- Valitse "Määritä" -vaihtoehto yläreunassa näkyvästä bannerista, jossa avautuu ikkuna, jossa on katkelma, jonka voit lisätä .gitconfig tiedosto.
- Valitse "Muokkaa automaattisesti" -vaihtoehto, jos haluat, että 1Password päivittää .gitconfig tiedosto yhdellä napsautuksella.
- Käyttäjät, jotka tarvitsevat kehittyneempiä määrityksiä, voivat kopioida katkelman ja tehdä asioita manuaalisesti.
Vihreä vahvistusmerkki, joka helpottaa vahvistuksen näkyvyyttä, lisätään sitten aikajanalle, kun siirryt GitHubiin.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
