1Password maakt het gemakkelijker voor GitHub-gebruikers om ondertekende commits in te stellen met behulp van SSH-sleutels. Ondertekende commits verifiëren dat de persoon die de code wijzigt, is wie hij zegt dat hij is.
Wanneer code wordt ingecheckt in een git-repository, wordt de wijziging meestal opgeslagen met de naam van de persoon die de code indient. Hoewel de naam van de committer doorgaans wordt ingesteld door de client van de gebruiker, kan deze eenvoudig worden gewijzigd in iets anders, waardoor het voor iemand mogelijk wordt om de commit-berichten en -namen te vervalsen. Dit kan beveiligingsimplicaties hebben als ontwikkelaars niet weten wie een bepaald stuk code heeft ingediend.
Het fundamentele, onopgeloste probleem dat ten grondslag ligt aan alle cyberbeveiligingsproblemen op het internet, is het gebrek aan goede tools om echt een levend mens te authenticeren, zegt John Bambenek, hoofddreigingsjager bij Netenrich. Door cryptografische ondertekening of ondertekende commits eenvoudig te maken, kunnen organisaties een hoger niveau van zekerheid hebben over de identiteit van de persoon.
"Zonder dit, vertrouw je erop dat de committer is wie ze zeggen dat ze zijn, en de persoon die de commit accepteert, begrijpt en beoordeelt de commit op problemen," voegt hij eraan toe.
Bambenek merkt op dat, omdat criminelen serieus op zoek zijn naar code in open source-bibliotheken, de mogelijkheid om mensen die code pushen echt te authenticeren, betekent dat de kans om hun repositories te gebruiken om andere organisaties in gevaar te brengen, veel kleiner is.
Eenvoudiger, schaalbaar sleutelbeheer
Michael Skelton, senior director of security operations bij Bugcrowd, wijst erop dat het beheren van SSH- en GPG-sleutels voor het ondertekenen van commits over meerdere virtuele en hostmachines van ontwikkelaars een omslachtig en verwarrend proces kan zijn. Voorheen sloegen ontwikkelaars die geïnteresseerd waren in ondertekende commits beheerd met sleutelparen, deze op in hun GitHub-accounts en op hun lokale machines.
"Dit kan de massale acceptatie van ondertekende commits bemoeilijken, waardoor het vermogen van uw organisatie om het meeste uit deze functie te halen, wordt aangetast", zegt hij. "Door 1Password dit namens u te laten beheren, kunt u deze sleutels gemakkelijker implementeren en configuraties probleemloos bijwerken."
Omdat 1Password de SSH-sleutels opslaat, wordt het eenvoudiger en minder verwarrend om sleutels op meerdere apparaten te beheren. Deze functie maakt het ook mogelijk om GitHub-ondertekeningssleutels voor ontwikkelaars op een meer schaalbare manier te beheren, zegt Skelton.
"Door dit probleem op te lossen, kunnen organisaties ondertekende commits afdwingen via hun repositories met behulp van de waakzame modus van GitHub, waardoor de kans wordt beperkt dat namen van committers verkeerd worden voorgesteld en op hun beurt verkeerd worden geïnterpreteerd", zegt Skelton.
Met ondertekende commits is het gemakkelijker om te zien wanneer een commit niet is ondertekend. Het is ook mogelijk om een toepassingsbeveiligingsbeleid te maken dat niet-ondertekende commits afwijst.
Hoe ondertekende toezeggingen in te stellen
Hier leest u hoe u GitHub instelt om SSH-sleutels te gebruiken voor verificatie.
- Update naar Git 2.34.0 of later, ga dan naar https://github.com/settings/keys en selecteer "nieuwe SSH-sleutel", gevolgd door het selecteren van "Signing Key".
- Navigeer vanaf daar naar het vak "Sleutel" en selecteer het 1Password-logo, selecteer "SSH-sleutel maken", vul een titel in en selecteer vervolgens "Create and Fill".
- Selecteer voor de laatste stap "SSH-sleutel toevoegen" en het GitHub-gedeelte van het proces is voltooid.
Zodra de sleutel is ingesteld in GitHub, gaat u verder naar 1Password op uw bureaublad om uw .gitconfig bestand om te ondertekenen met hun SSH-sleutel.
- Selecteer de optie "Configureren" in de banner die bovenaan wordt weergegeven, waar een venster wordt geopend met een fragment dat u kunt toevoegen aan de .gitconfig bestand.
- Selecteer de optie "Automatisch bewerken" om 1Password het .gitconfig bestand met één klik.
- Gebruikers die een meer geavanceerde configuratie nodig hebben, kunnen het fragment kopiëren en dingen handmatig doen.
Een groene verificatiebadge voor eenvoudige zichtbaarheid van verificatie wordt dan toegevoegd aan de tijdlijn wanneer u naar GitHub pusht.
