1Password는 GitHub 사용자가 다음을 사용하여 서명된 커밋을 보다 쉽게 설정할 수 있도록 합니다. SSH 키. 서명된 커밋은 코드를 변경하는 사람이 자신이 말하는 사람인지 확인합니다.
코드가 git 저장소에 체크인되면 일반적으로 코드를 제출한 사람의 이름으로 변경 사항이 저장됩니다. 커미터의 이름은 일반적으로 사용자의 클라이언트에 의해 설정되지만 다른 이름으로 쉽게 변경할 수 있으므로 누군가가 커밋 메시지와 이름을 스푸핑할 수 있습니다. 이는 개발자가 특정 코드 조각을 제출한 사람을 실제로 알지 못하는 경우 보안에 영향을 미칠 수 있습니다.
Netenrich의 수석 위협 사냥꾼인 John Bambenek은 인터넷의 모든 사이버 보안 문제의 근저에 있는 근본적이고 해결되지 않은 문제는 살아있는 인간을 진정으로 인증할 수 있는 좋은 도구가 부족하다는 것입니다. 암호화 서명 또는 서명된 커밋을 쉽게 만들면 조직은 개인의 신원에 대해 더 높은 수준의 확신을 가질 수 있습니다.
"이것이 없으면 커미터가 자신이라고 믿고 커밋을 수락하는 사람이 커밋을 이해하고 문제에 대해 검토합니다."라고 그는 덧붙입니다.
Bambenek은 범죄자들이 본격적으로 오픈 소스 라이브러리에서 코드를 쫓고 있기 때문에 코드를 푸는 사람들을 진정으로 인증할 수 있다는 것은 자신의 리포지토리를 사용하여 다른 조직을 손상시킬 수 있는 기회가 훨씬 적다는 것을 의미한다고 말합니다.
더 쉽고 확장 가능한 키 관리
Bugcrowd의 보안 운영 선임 이사인 Michael Skelton은 여러 개발자 가상 및 호스트 머신에 대한 커밋 서명을 위한 SSH 및 GPG 키 관리가 번거롭고 혼란스러운 프로세스일 수 있다고 지적합니다. 이전에는 키 쌍으로 관리되는 서명된 커밋에 관심이 있는 개발자가 GitHub 계정과 로컬 컴퓨터에 저장했습니다.
"이로 인해 서명된 커밋의 대량 채택이 어려워지고 조직이 이 기능을 최대한 활용할 수 있는 능력이 손상될 수 있습니다."라고 그는 말합니다. "1Password가 귀하를 대신하여 이를 관리하도록 함으로써 이러한 키를 보다 쉽게 배포하고 번거로움 없이 구성을 업데이트할 수 있습니다."
1Password는 SSH 키를 저장하기 때문에 여러 장치에서 키를 관리하는 것이 더 쉽고 덜 혼란스럽습니다. 이 기능을 통해 개발자를 위한 GitHub 서명 키를 보다 확장 가능한 방식으로 관리할 수 있다고 Skelton은 말합니다.
"이 문제를 해결함으로써 조직은 GitHub의 경계 모드를 사용하여 리포지토리에 대해 서명된 커밋을 적용할 수 있으며 커미터 이름이 잘못 표시되고 잘못 해석되는 것을 제한할 수 있습니다."라고 Skelton은 말합니다.
서명된 커밋을 사용하면 커밋이 서명되지 않은 경우를 더 쉽게 확인할 수 있습니다. 서명되지 않은 커밋을 거부하는 애플리케이션 보안 정책을 생성하는 것도 가능합니다.
서명된 커밋을 설정하는 방법
확인을 위해 SSH 키를 사용하도록 GitHub를 설정하는 방법은 다음과 같습니다.
- Git 2.34.0 이상으로 업데이트한 다음 https://github.com/settings/keys "새 SSH 키"를 선택한 다음 "서명 키"를 선택합니다.
- 여기에서 "키" 상자로 이동하여 1Password 로고를 선택하고 "SSH 키 생성"을 선택한 다음 제목을 입력하고 "만들기 및 채우기"를 선택합니다.
- 마지막 단계에서 "SSH 키 추가"를 선택하면 프로세스의 GitHub 부분이 완료됩니다.
GitHub에서 키가 설정되면 데스크톱에서 1Password로 진행하여 키를 구성합니다. .gitconfig SSH 키로 서명할 파일입니다.
- 상단에 표시되는 배너에서 "구성" 옵션을 선택하면 추가할 수 있는 스니펫이 포함된 창이 열립니다. .gitconfig 파일.
- "자동 편집" 옵션을 선택하여 1Password가 .gitconfig 한 번의 클릭으로 파일.
- 고급 구성이 필요한 사용자는 스니펫을 복사하고 수동으로 작업을 수행할 수 있습니다.
그러면 GitHub에 푸시할 때 쉽게 확인할 수 있는 녹색 확인 배지가 타임라인에 추가됩니다.
