כיצד להשתמש במפתחות SSH ו-1Password כדי לחתום על Git Commits PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

כיצד להשתמש במפתחות SSH וב-1Password כדי לחתום על התחייבויות Git

חותמת זמן: 14 בספטמבר 2022 2:39

1Password מקל על משתמשי GitHub להגדיר התחייבויות חתומות באמצעות מפתחות SSH. התחייבויות חתומות מאמתות שהאדם שמבצע את שינוי הקוד הוא מי שהוא אומר שהוא.

כאשר קוד נבדק לתוך מאגר git, השינוי נשמר בדרך כלל עם שם האדם ששולח את הקוד. בעוד ששם המבצע מוגדר בדרך כלל על ידי הלקוח של המשתמש, ניתן לשנות אותו בקלות לכל דבר אחר, מה שמאפשר למישהו לזייף את ההודעות והשמות של ה-commit. יכולות להיות לכך השלכות אבטחה אם מפתחים לא יודעים מי שלח קטע קוד מסוים.

הבעיה הבסיסית והבלתי פתורה העומדת בבסיס כל בעיות אבטחת הסייבר באינטרנט היא היעדר כלים טובים לאותנטיות אמיתית של בן אדם חי, אומר ג'ון במבנק, צייד האיומים הראשי ב-Netenrich. ביצוע חתימה קריפטוגרפית, או התחייבויות חתומות, קל מאפשר לארגונים לקבל רמה גבוהה יותר של ביטחון לגבי זהותו של האדם.

"בלי זה, אתה סומך על המתחייב הוא מי שהם אומרים שהוא, והאדם שמקבל את ההתחייבות מבין וסוקר את ההתחייבות לבעיות", הוא מוסיף.

Bambenek מציין שבגלל שפושעים רודפים אחרי קוד בספריות קוד פתוח ברצינות, היכולת לאמת אנשים שדוחפים קוד פירושה שהחלון לשימוש במאגרים שלהם כדי לסכן ארגונים אחרים הוא הרבה יותר קטן.

ניהול מפתחות קל יותר וניתן להרחבה

מייקל סקלטון, מנהל בכיר לפעילות אבטחה ב-Bugcrowd, מציין כי ניהול מפתחות SSH ו-GPG לצורך חתימה על התחייבויות על פני מספר רב של מחשבים וירטואליים ומארחים של מפתחים יכול להיות תהליך מסורבל ומבלבל. בעבר, מפתחים שהתעניינו בהתחייבויות חתומות המנוהלות עם צמדי מפתח שמרו אותן בחשבונות GitHub שלהם ובמכונות המקומיות שלהם.

"זה יכול להקשות על אימוץ המוני של התחייבויות חתומות, ולפגוע ביכולת של הארגון שלך להפיק את המרב מהתכונה הזו", הוא אומר. "על ידי כך ש-1Password תנהל את זה בשמך, תוכל לפרוס את המפתחות הללו בקלות רבה יותר ולעדכן תצורות ללא טרחה."

מכיוון ש-1Password מאחסן את מפתחות ה-SSH, זה הופך להיות קל יותר, ופחות מבלבל, לנהל מפתחות על פני מספר מכשירים. תכונה זו מאפשרת גם לנהל את מפתחות החתימה של GitHub עבור מפתחים בצורה מדרגית יותר, אומר סקלטון.

"על ידי פתרון בעיה זו, ארגונים יכולים לאחר מכן לחפש לאכוף התחייבויות חתומות על המאגרים שלהם תוך שימוש במצב ערני של GitHub, מה שעוזר להגביל את היכולת של שמות מחויבים להיות מוצגים בצורה שגויה ובתורם לפרש לא נכון", אומר סקלטון.

עם התחייבויות חתומות, קל יותר לראות מתי התחייבות לא נחתמה. אפשר גם ליצור מדיניות אבטחה של יישומים שדוחה התחייבויות לא חתומות.

כיצד להגדיר התחייבויות חתומות

הנה איך להגדיר את GitHub להשתמש במפתחות SSH לאימות.

  1. עדכן ל-Git 2.34.0 ואילך, ולאחר מכן עבור אל https://github.com/settings/keys ובחר "מפתח SSH חדש", ולאחר מכן בחירה ב"מפתח חתימה".
  2. משם, נווט לתיבה "מפתח" ובחר את הלוגו של 1Password, בחר "צור מפתח SSH", מלא כותרת ולאחר מכן בחר "צור ומילוי".
  3. לשלב האחרון, בחר "הוסף מפתח SSH", והחלק של GitHub של התהליך הושלם.

לאחר הגדרת המפתח ב-GitHub, המשך אל 1Password בשולחן העבודה שלך כדי להגדיר את התצורה שלך .gitconfig קובץ לחתום עם מפתח ה-SSH שלהם.

  1. בחר באפשרות "הגדר" בבאנר המוצג למעלה, שם ייפתח חלון עם קטע שאתה יכול להוסיף ל- .gitconfig קובץ.
  2. בחר באפשרות "ערוך אוטומטית" כדי ש-1Password תעדכן את .gitconfig קובץ בלחיצה אחת.
  3. משתמשים הזקוקים לתצורה מתקדמת יותר יכולים להעתיק את הקטע ולעשות דברים באופן ידני.

תג אימות ירוק לנראות קלה של אימות יתווסף לציר הזמן כאשר תלחץ ל-GitHub.

בול זמן:

עוד מ קריאה אפלה