1Password gjør det enklere for GitHub-brukere å sette opp signerte forpliktelser ved å bruke SSH-nøkler. Signerte forpliktelser bekrefter at personen som gjør kodeendringen er den de sier de er.
Når koden sjekkes inn i et git-lager, lagres endringen vanligvis med navnet på personen som sender inn koden. Mens forplikterens navn vanligvis angis av brukerens klient, kan det enkelt endres til noe annet, noe som gjør det mulig for noen å forfalske de forpliktende meldingene og navnene. Dette kan ha sikkerhetsimplikasjoner hvis utviklere faktisk ikke vet hvem som sendte inn en bestemt kode.
Det grunnleggende, uløste problemet som ligger til grunn for alle cybersikkerhetsproblemene på Internett er mangelen på gode verktøy for å virkelig autentiske et levende menneske, sier John Bambenek, hovedtrusseljeger hos Netenrich. Ved å gjøre kryptografisk signering, eller signerte forpliktelser, enkelt lar organisasjoner ha en høyere grad av sikkerhet om personens identitet.
"Uten dette stoler du på at forplikteren er den de sier de er, og personen som aksepterer forpliktelsen forstår og vurderer forpliktelsen for problemer," legger han til.
Bambenek bemerker at fordi kriminelle ser etter kode i åpen kildekode-biblioteker for alvor, betyr det å kunne virkelig autentisere folk som skyver kode, at vinduet til å bruke lagrene deres til å kompromittere andre organisasjoner er mye mindre.
Enklere, skalerbar nøkkeladministrasjon
Michael Skelton, seniordirektør for sikkerhetsoperasjoner i Bugcrowd, påpeker at det kan være en tungvint og forvirrende prosess å administrere SSH- og GPG-nøkler for signering av forpliktelser over flere virtuelle utvikler- og vertsmaskiner. Tidligere har utviklere som er interessert i signerte forpliktelser administrert med nøkkelpar lagret dem i GitHub-kontoene deres og på deres lokale maskiner.
"Dette kan gjøre masseadopsjon av signerte forpliktelser vanskelig, og svekke organisasjonens evne til å få mest mulig ut av denne funksjonen," sier han. "Ved å la 1Password administrere dette på dine vegne, kan du enklere distribuere disse nøklene og oppdatere konfigurasjoner problemfritt."
Fordi 1Password lagrer SSH-nøklene, blir det enklere og mindre forvirrende å administrere nøkler over flere enheter. Denne funksjonen gjør det også mulig å administrere GitHub-signeringsnøkler for utviklere på en mer skalerbar måte, sier Skelton.
"Ved å løse dette problemet, kan organisasjoner deretter se etter å håndheve signerte forpliktelser over depotene deres ved å bruke GitHubs årvåkne modus, noe som bidrar til å begrense muligheten for at forpliktende navn blir feilrepresentert og i sin tur feiltolket," sier Skelton.
Med signerte commits er det lettere å se når en commit ikke er signert. Det er også mulig å lage en programsikkerhetspolicy som avviser usignerte forpliktelser.
Hvordan sette opp signerte forpliktelser
Slik setter du opp GitHub til å bruke SSH-nøkler for verifisering.
- Oppdater til Git 2.34.0 eller nyere, og gå deretter til https://github.com/settings/keys og velg "ny SSH-nøkkel," etterfulgt av å velge "Signeringsnøkkel."
- Derfra, naviger til "Nøkkel"-boksen og velg 1Password-logoen, velg "Opprett SSH-nøkkel", fyll inn en tittel, og velg deretter "Opprett og fyll."
- For det siste trinnet, velg "Legg til SSH-nøkkel", og GitHub-delen av prosessen er fullført.
Når nøkkelen er satt opp i GitHub, fortsett til 1Password på skrivebordet for å konfigurere .gitconfig fil for å signere med sin SSH-nøkkel.
- Velg alternativet "Konfigurer" i banneret som vises øverst, der et vindu åpnes med en kodebit du kan legge til i .gitconfig filen.
- Velg alternativet "Rediger automatisk" for å få 1Password til å oppdatere .gitconfig fil med ett klikk.
- Brukere som trenger mer avansert konfigurasjon kan kopiere kodebiten og gjøre ting manuelt.
Et grønt verifiseringsmerke for enkel verifiseringssynlighet vil da bli lagt til tidslinjen når du trykker til GitHub.
