1Password permet aux utilisateurs de GitHub de configurer plus facilement des commits signés à l'aide de Clés SSH. Les commits signés vérifient que la personne qui modifie le code est bien celle qu'elle prétend être.
Lorsque le code est archivé dans un référentiel git, la modification est généralement enregistrée avec le nom de la personne qui soumet le code. Bien que le nom du committer soit généralement défini par le client de l'utilisateur, il peut être facilement changé en n'importe quoi d'autre, ce qui permet à quelqu'un d'usurper les messages et les noms de commit. Cela peut avoir des implications sur la sécurité si les développeurs ne savent pas réellement qui a soumis un morceau de code particulier.
Le problème fondamental non résolu qui sous-tend tous les problèmes de cybersécurité sur Internet est le manque de bons outils pour véritablement authentifier un être humain vivant, déclare John Bambenek, principal chasseur de menaces chez Netenrich. Faciliter la signature cryptographique, ou les commits signés, permet aux organisations d'avoir un niveau d'assurance plus élevé sur l'identité de la personne.
"Sans cela, vous faites confiance au committer qui est ce qu'il dit être, et la personne qui accepte le commit comprend et examine le commit pour les problèmes", ajoute-t-il.
Bambenek note que parce que les criminels recherchent sérieusement le code dans les bibliothèques open source, être en mesure d'authentifier véritablement les personnes qui poussent le code signifie que la fenêtre d'utilisation de leurs référentiels pour compromettre d'autres organisations est beaucoup plus petite.
Gestion des clés simplifiée et évolutive
Michael Skelton, directeur principal des opérations de sécurité chez Bugcrowd, souligne que la gestion des clés SSH et GPG pour la signature des engagements sur plusieurs machines virtuelles et hôtes de développeur peut être un processus lourd et déroutant. Auparavant, les développeurs intéressés par les commits signés gérés avec des paires de clés les stockaient dans leurs comptes GitHub et sur leurs machines locales.
"Cela peut rendre difficile l'adoption massive de commits signés, ce qui nuit à la capacité de votre organisation à tirer le meilleur parti de cette fonctionnalité", déclare-t-il. "En laissant 1Password gérer cela en votre nom, vous pouvez plus facilement déployer ces clés et mettre à jour les configurations sans tracas."
Étant donné que 1Password stocke les clés SSH, il devient plus facile et moins déroutant de gérer les clés sur plusieurs appareils. Cette fonctionnalité permet également de gérer les clés de signature GitHub pour les développeurs de manière plus évolutive, explique Skelton.
"En résolvant ce problème, les organisations peuvent alors chercher à appliquer des commits signés sur leurs référentiels en utilisant le mode vigilant de GitHub, ce qui contribue à limiter la possibilité que les noms des committers soient déformés et à leur tour mal interprétés", déclare Skelton.
Avec les commits signés, il est plus facile de voir quand un commit n'a pas été signé. Il est également possible de créer une politique de sécurité d'application qui rejette les commits non signés.
Comment configurer des commits signés
Voici comment configurer GitHub pour utiliser les clés SSH pour la vérification.
- Mettez à jour vers Git 2.34.0 ou version ultérieure, puis accédez à https://github.com/settings/keys et sélectionnez "nouvelle clé SSH", puis sélectionnez "Clé de signature".
- À partir de là, accédez à la case "Clé" et sélectionnez le logo 1Password, sélectionnez "Créer une clé SSH", remplissez un titre, puis sélectionnez "Créer et remplir".
- Pour la dernière étape, sélectionnez "Ajouter une clé SSH" et la partie GitHub du processus est terminée.
Une fois la clé configurée dans GitHub, accédez à 1Password sur votre bureau pour configurer votre .gitconfig fichier à signer avec leur clé SSH.
- Sélectionnez l'option "Configurer" dans la bannière affichée en haut, où une fenêtre s'ouvrira avec un extrait que vous pouvez ajouter au .gitconfig fichier.
- Sélectionnez l'option "Modifier automatiquement" pour que 1Password mette à jour le .gitconfig fichier en un clic.
- Les utilisateurs ayant besoin d'une configuration plus avancée peuvent copier l'extrait et faire les choses manuellement.
Un badge de vérification vert pour une visibilité facile de la vérification sera ensuite ajouté à la chronologie lorsque vous poussez vers GitHub.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
