1Password sta semplificando per gli utenti di GitHub la configurazione dei commit firmati utilizzando Chiavi SSH. I commit firmati verificano che la persona che effettua la modifica del codice sia chi dice di essere.
Quando il codice viene archiviato in un repository git, la modifica viene solitamente salvata con il nome della persona che invia il codice. Mentre il nome del committer è generalmente impostato dal client dell'utente, può essere facilmente cambiato in qualsiasi altra cosa, il che rende possibile a qualcuno lo spoofing dei messaggi e dei nomi di commit. Ciò può avere implicazioni sulla sicurezza se gli sviluppatori non sanno effettivamente chi ha inviato un particolare pezzo di codice.
Il problema fondamentale e irrisolto alla base di tutti i problemi di sicurezza informatica su Internet è la mancanza di buoni strumenti per autenticare veramente un essere umano vivo, afferma John Bambenek, principale cacciatore di minacce di Netenrich. Semplificare la firma crittografica o i commit firmati consente alle organizzazioni di avere un livello più elevato di garanzia sull'identità della persona.
"Senza questo, ti fidi che il committente sia chi dice di essere e la persona che accetta il commit comprende e rivede il commit per i problemi", aggiunge.
Bambenek osserva che, poiché i criminali cercano seriamente il codice nelle librerie open source, essere in grado di autenticare veramente le persone che spingono il codice significa che la finestra per utilizzare i loro repository per compromettere altre organizzazioni è molto più piccola.
Gestione delle chiavi più semplice e scalabile
Michael Skelton, direttore senior delle operazioni di sicurezza presso Bugcrowd, sottolinea che la gestione delle chiavi SSH e GPG per la firma dei commit su più macchine virtuali e host per sviluppatori può essere un processo complicato e confuso. In precedenza, gli sviluppatori interessati ai commit firmati gestiti con coppie di chiavi li archiviavano nei loro account GitHub e sui loro computer locali.
"Ciò può rendere difficile l'adozione di massa dei commit firmati, compromettendo la capacità della tua organizzazione di sfruttare al massimo questa funzionalità", afferma. "Facendo in modo che 1Password lo gestisca per tuo conto, puoi implementare più facilmente queste chiavi e aggiornare le configurazioni senza problemi."
Poiché 1Password memorizza le chiavi SSH, diventa più semplice e meno confuso gestire le chiavi su più dispositivi. Questa funzionalità consente inoltre di gestire le chiavi di firma GitHub per gli sviluppatori in modo più scalabile, afferma Skelton.
"Risolvendo questo problema, le organizzazioni possono quindi cercare di applicare i commit firmati sui propri repository utilizzando la modalità vigilante di GitHub, contribuendo a limitare la possibilità che i nomi dei committenti vengano travisati e, a loro volta, interpretati erroneamente", afferma Skelton.
Con i commit firmati, è più facile vedere quando un commit non è stato firmato. È anche possibile creare un criterio di sicurezza dell'applicazione che rifiuti i commit non firmati.
Come impostare i commit firmati
Ecco come configurare GitHub per usare le chiavi SSH per la verifica.
- Aggiorna a Git 2.34.0 o successivo, quindi vai a https://github.com/settings/keys e seleziona "nuova chiave SSH", quindi seleziona "Chiave di firma".
- Da lì, vai alla casella "Chiave" e seleziona il logo 1Password, seleziona "Crea chiave SSH", inserisci un titolo, quindi seleziona "Crea e compila".
- Per l'ultimo passaggio, seleziona "Aggiungi chiave SSH" e la parte GitHub del processo è completa.
Una volta impostata la chiave in GitHub, procedi a 1Password sul desktop per configurare il tuo .gitconfig file da firmare con la propria chiave SSH.
- Seleziona l'opzione "Configura" nel banner visualizzato in alto, dove si aprirà una finestra con uno snippet che puoi aggiungere al .gitconfig file.
- Seleziona l'opzione "Modifica automaticamente" per fare in modo che 1Password aggiorni il file .gitconfig file con un clic.
- Gli utenti che necessitano di una configurazione più avanzata possono copiare lo snippet e fare le cose manualmente.
Un badge di verifica verde per una facile visibilità della verifica verrà quindi aggiunto alla sequenza temporale quando esegui il push su GitHub.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
