1Password により、GitHub ユーザーは XNUMXPassword を使用して署名付きコミットを簡単にセットアップできます SSHキー. 署名されたコミットは、コードを変更した人物が本人であることを証明します。
コードが git リポジトリにチェックインされると、変更は通常、コードを送信した人の名前で保存されます。 通常、コミッターの名前はユーザーのクライアントによって設定されますが、他の名前に簡単に変更できるため、誰かがコミット メッセージと名前を偽装することができます。 これは、開発者が特定のコードの送信者を実際に知らない場合、セキュリティに影響を与える可能性があります。
インターネット上のすべてのサイバーセキュリティ問題の根底にある根本的な未解決の問題は、生きている人間を真に認証するための優れたツールがないことです、と Netenrich のプリンシパル スレット ハンターである John Bambenek は言います。 暗号署名または署名付きコミットを簡単にすることで、組織は個人の身元についてより高いレベルの保証を得ることができます。
「これがなければ、コミッターが彼らの言うとおりの人物であり、コミットを受け入れる人が問題についてコミットを理解し、レビューすることを信頼していることになります」と彼は付け加えます。
Bambenek は、犯罪者がオープンソース ライブラリのコードを本格的に狙っているため、コードをプッシュする人を真に認証できるということは、リポジトリを使用して他の組織を侵害する可能性がはるかに小さいことを意味すると述べています。
より簡単でスケーラブルなキー管理
Bugcrowd のセキュリティ オペレーション担当シニア ディレクターである Michael Skelton 氏は、複数の開発者の仮想マシンやホスト マシンでコミットに署名するための SSH および GPG キーの管理は、煩雑で混乱を招くプロセスになる可能性があると指摘しています。 以前は、キー ペアで管理される署名付きコミットに関心のある開発者は、それらを GitHub アカウントとローカル マシンに保存していました。
「これにより、署名付きコミットの大量採用が難しくなり、組織がこの機能を最大限に活用する能力が損なわれる可能性があります」と彼は言います。 「1Password にあなたに代わってこれを管理してもらうことで、これらのキーをより簡単に展開し、構成を簡単に更新できます。」
1Password は SSH キーを保存するため、複数のデバイスでキーを管理することがより簡単になり、混乱も少なくなります。 この機能により、開発者向けの GitHub 署名キーをよりスケーラブルな方法で管理することも可能になる、と Skelton 氏は言います。
「この問題を解決することで、組織は GitHub の警戒モードを使用してリポジトリに署名付きコミットを強制することができ、コミッター名が誤って伝えられたり、誤解されたりする可能性を制限するのに役立ちます」と Skelton 氏は言います。
署名されたコミットを使用すると、コミットが署名されていないことを簡単に確認できます。 署名されていないコミットを拒否するアプリケーション セキュリティ ポリシーを作成することもできます。
署名付きコミットの設定方法
検証に SSH キーを使用するように GitHub をセットアップする方法は次のとおりです。
- Git 2.34.0 以降に更新してから、 https://github.com/settings/keys [新しい SSH キー] を選択し、[署名キー] を選択します。
- そこから、[キー] ボックスに移動して 1Password ロゴを選択し、[SSH キーの作成] を選択してタイトルを入力し、[作成して入力] を選択します。
- 最後のステップとして、[Add SSH Key] を選択すると、プロセスの GitHub 部分が完了します。
キーが GitHub でセットアップされたら、デスクトップの 1Password に進み、 .gitconfig SSH キーで署名するファイル。
- 上部に表示されるバナーで「構成」オプションを選択すると、ウィンドウが開き、そこに追加できるスニペットが表示されます。 .gitconfig ファイルにソフトウェアを指定する必要があります。
- 「自動的に編集」オプションを選択して、1Password に .gitconfig ワンクリックでファイル。
- より高度な構成が必要なユーザーは、スニペットをコピーして手動で行うことができます。
GitHub にプッシュすると、簡単に確認できるように緑色の確認バッジがタイムラインに追加されます。