1Password memudahkan pengguna GitHub untuk menyiapkan komit yang ditandatangani menggunakan Kunci SSH. Komit yang ditandatangani memverifikasi bahwa orang yang membuat perubahan kode adalah siapa yang mereka katakan.
Ketika kode diperiksa ke dalam repositori git, perubahan biasanya disimpan dengan nama orang yang mengirimkan kode. Sementara nama committer biasanya ditetapkan oleh klien pengguna, itu dapat dengan mudah diubah menjadi apa pun, yang memungkinkan seseorang untuk menipu pesan dan nama commit. Ini dapat memiliki implikasi keamanan jika pengembang tidak benar-benar tahu siapa yang mengirimkan bagian kode tertentu.
Masalah mendasar yang belum terpecahkan yang mendasari semua masalah keamanan siber di Internet adalah kurangnya alat yang baik untuk benar-benar mengautentikasi manusia yang hidup, kata John Bambenek, pemburu ancaman utama di Netenrich. Membuat penandatanganan kriptografi, atau komitmen yang ditandatangani, dengan mudah memungkinkan organisasi untuk memiliki tingkat jaminan yang lebih tinggi tentang identitas orang tersebut.
โTanpa hal ini, Anda percaya bahwa pembuat komitmen adalah siapa yang mereka katakan, dan orang yang menerima komitmen memahami dan meninjau komitmen untuk mencari masalah,โ tambahnya.
Bambenek mencatat bahwa karena penjahat mengejar kode di perpustakaan sumber terbuka dengan sungguh-sungguh, kemampuan untuk benar-benar mengautentikasi orang yang mendorong kode berarti jendela untuk menggunakan repositori mereka untuk mengkompromikan organisasi lain jauh lebih kecil.
Manajemen Kunci yang Lebih Mudah dan Dapat Diskalakan
Michael Skelton, direktur senior operasi keamanan di Bugcrowd, menunjukkan bahwa mengelola kunci SSH dan GPG untuk penandatanganan komitmen melalui beberapa mesin virtual dan host pengembang dapat menjadi proses yang rumit dan membingungkan. Sebelumnya, pengembang yang tertarik dengan komitmen yang ditandatangani dan dikelola dengan pasangan kunci menyimpannya di akun GitHub dan di mesin lokal mereka.
โIni dapat membuat adopsi massal komitmen yang ditandatangani menjadi sulit, sehingga mengganggu kemampuan organisasi Anda untuk memanfaatkan fitur ini secara maksimal,โ katanya. โDengan meminta 1Password mengelola ini atas nama Anda, Anda dapat lebih mudah menerapkan kunci ini dan memperbarui konfigurasi tanpa kerumitan.โ
Karena 1Password menyimpan kunci SSH, menjadi lebih mudah, dan tidak membingungkan, untuk mengelola kunci di beberapa perangkat. Fitur ini juga memungkinkan untuk mengelola kunci penandatanganan GitHub untuk pengembang dengan cara yang lebih skalabel, kata Skelton.
โDengan memecahkan masalah ini, organisasi kemudian dapat menerapkan komitmen yang ditandatangani di atas repositori mereka menggunakan mode waspada GitHub, membantu membatasi kemampuan nama-nama committer untuk disalahartikan dan pada gilirannya disalahartikan,โ kata Skelton.
Dengan komit yang ditandatangani, lebih mudah untuk melihat saat komit belum ditandatangani. Dimungkinkan juga untuk membuat kebijakan keamanan aplikasi yang menolak komit yang tidak ditandatangani.
Cara Mengatur Komitmen yang Ditandatangani
Berikut cara menyiapkan GitHub untuk menggunakan kunci SSH untuk verifikasi.
- Perbarui ke Git 2.34.0 atau lebih baru, lalu buka https://github.com/settings/keys dan pilih "kunci SSH baru," diikuti dengan memilih "Kunci Penandatanganan."
- Dari sana, navigasikan ke kotak "Kunci" dan pilih logo 1Password, pilih "Buat Kunci SSH," isi judul, lalu pilih "Buat dan Isi."
- Untuk langkah terakhir, pilih "Tambahkan Kunci SSH," dan bagian GitHub dari proses selesai.
Setelah kunci diatur di GitHub, lanjutkan ke 1Password di desktop Anda untuk mengonfigurasi .gitconfig file untuk ditandatangani dengan kunci SSH mereka.
- Pilih opsi "Konfigurasi" di spanduk yang ditampilkan di atas, di mana sebuah jendela akan terbuka dengan cuplikan yang dapat Anda tambahkan ke .gitconfig file.
- Pilih opsi "Edit Secara Otomatis" agar 1Password memperbarui .gitconfig file dengan satu klik.
- Pengguna yang membutuhkan konfigurasi lebih lanjut dapat menyalin cuplikan dan melakukan berbagai hal secara manual.
Lencana verifikasi hijau untuk visibilitas verifikasi yang mudah kemudian akan ditambahkan ke timeline saat Anda mendorong ke GitHub.
