Az 1Password megkönnyíti a GitHub-felhasználók számára az aláírt kötelezettségek beállítását SSH kulcsok. Az aláírt kötelezettségvállalások igazolják, hogy a kódot módosító személy az, akinek mondják magukat.
Amikor a kódot bejelölik egy git-tárba, a módosítás általában a kódot beküldő személy nevével menti el. Míg az elkövető nevét általában a felhasználó kliense állítja be, könnyen megváltoztatható bármi másra, ami lehetővé teszi, hogy valaki meghamisítsa a véglegesítési üzeneteket és neveket. Ennek biztonsági vonatkozásai lehetnek, ha a fejlesztők valójában nem tudják, hogy ki küldte be az adott kódrészletet.
Az internetes kiberbiztonsági problémák mögött meghúzódó alapvető, megoldatlan probléma a megfelelő eszközök hiánya az élő emberi lény valódi hitelesítéséhez – mondja John Bambenek, a Netenrich fő fenyegetésvadásza. A kriptográfiai aláírás vagy aláírt kötelezettségvállalások egyszerűvé tétele lehetővé teszi a szervezetek számára, hogy magasabb szintű bizonyosságot szerezzenek a személy azonosságáról.
„Enélkül Ön abban bízik, hogy a kötelezett az, akinek mondják magukat, és aki elfogadja a kötelezettségvállalást, megérti, és felülvizsgálja a kötelezettségvállalást a problémák miatt” – teszi hozzá.
Bambenek megjegyzi, hogy mivel a bûnözõk komolyan keresik a kódot a nyílt forráskódú könyvtárakban, a kódot nyomó emberek valódi hitelesítésére való képesség sokkal kisebb lehetõséget jelent arra, hogy tárhelyeiket más szervezetek kompromittálására használják.
Egyszerűbb, méretezhető kulcskezelés
Michael Skelton, a Bugcrowd biztonsági műveletekért felelős vezető igazgatója rámutat, hogy az SSH- és GPG-kulcsok kezelése több fejlesztői virtuális és gazdagépen végzett commit aláírásához nehézkes és zavaró folyamat lehet. Korábban a kulcspárokkal kezelt aláírt commit iránt érdeklődő fejlesztők GitHub-fiókjukban és helyi gépeiken tárolták azokat.
„Ez megnehezítheti az aláírt kötelezettségvállalások tömeges elfogadását, ami rontja a szervezet azon képességét, hogy a legtöbbet hozza ki ebből a funkcióból” – mondja. "Ha az 1Password kezeli ezt az Ön nevében, könnyebben telepítheti ezeket a kulcsokat és problémamentesen frissítheti a konfigurációkat."
Mivel az 1Password tárolja az SSH-kulcsokat, könnyebbé és kevésbé zavaróvá válik a kulcsok kezelése több eszközön. Ez a funkció lehetővé teszi a GitHub-aláíró kulcsok fejlesztők számára skálázhatóbb kezelését is, mondja Skelton.
„A probléma megoldásával a szervezetek megpróbálhatják az aláírt kötelezettségvállalásokat érvényesíteni adattáraikon a GitHub éber üzemmódjával, ami segít korlátozni annak lehetőségét, hogy a megbízottak neveit félreértelmezzék, illetve félreértelmezzék” – mondja Skelton.
Az aláírt kötelezettségvállalásokkal könnyebben látható, ha a kötelezettségvállalást még nem írták alá. Létrehozhat olyan alkalmazásbiztonsági házirendet is, amely elutasítja az aláíratlan véglegesítéseket.
Az aláírt kötelezettségek beállítása
Így állíthatja be a GitHubot, hogy SSH-kulcsokat használjon az ellenőrzéshez.
- Frissítsen Git 2.34.0 vagy újabb verzióra, majd lépjen a következőre https://github.com/settings/keys és válassza az „új SSH kulcs”, majd az „Aláíró kulcs” lehetőséget.
- Innen navigáljon a „Kulcs” mezőbe, és válassza ki az 1Password logót, válassza az „SSH-kulcs létrehozása” lehetőséget, írjon be egy címet, majd válassza a „Létrehozás és kitöltés” lehetőséget.
- Az utolsó lépésben válassza az „SSH-kulcs hozzáadása” lehetőséget, és a folyamat GitHub része befejeződött.
Miután beállította a kulcsot a GitHubban, folytassa az 1Password lehetőséggel az asztalon a .gitconfig fájlt az SSH-kulcsukkal aláírandó.
- Válassza a „Konfigurálás” opciót a felül megjelenő szalaghirdetésen, ahol megnyílik egy ablak egy részlettel, amelyet hozzáadhat a .gitconfig fájlt.
- Válassza az „Automatikus szerkesztés” lehetőséget, hogy az 1Password frissítse a .gitconfig fájlt egy kattintással.
- A fejlettebb konfigurációra szoruló felhasználók kimásolhatják a kódrészletet, és kézzel végezhetik el a dolgokat.
Ezután egy zöld ellenőrző jelvény jelenik meg az idővonalon az egyszerű ellenőrzés érdekében, amikor a GitHubra lép.
