1Password ułatwia użytkownikom GitHub konfigurowanie podpisanych zatwierdzeń za pomocą Klucze SSH. Podpisane zatwierdzenia weryfikują, czy osoba dokonująca zmiany kodu jest tym, za kogo się podaje.
Kiedy kod jest sprawdzany w repozytorium git, zmiana jest zwykle zapisywana z nazwiskiem osoby przesyłającej kod. Chociaż nazwa osoby zatwierdzającej jest zwykle ustawiana przez klienta użytkownika, można ją łatwo zmienić na dowolną inną, co umożliwia komuś sfałszowanie komunikatów i nazw zatwierdzeń. Może to mieć wpływ na bezpieczeństwo, jeśli programiści tak naprawdę nie wiedzą, kto przesłał określony fragment kodu.
Podstawowym, nierozwiązanym problemem leżącym u podstaw wszystkich problemów związanych z cyberbezpieczeństwem w Internecie jest brak dobrych narzędzi do prawdziwego autentyczności żywego człowieka, mówi John Bambenek, główny łowca zagrożeń w Netenrich. Ułatwienie podpisywania kryptograficznego lub podpisanych zatwierdzeń pozwala organizacjom uzyskać wyższy poziom pewności co do tożsamości osoby.
„Bez tego ufasz, że osoba zatwierdzająca jest tym, za kogo się podaje, a osoba akceptująca zatwierdzenie rozumie i przegląda zatwierdzenie pod kątem problemów” — dodaje.
Bambenek zauważa, że ponieważ przestępcy na poważnie ścigają kod w bibliotekach open source, możliwość prawdziwego uwierzytelnienia osób przesyłających kod oznacza, że okno wykorzystania ich repozytoriów do włamania się do innych organizacji jest znacznie mniejsze.
Łatwiejsze, skalowalne zarządzanie kluczami
Michael Skelton, starszy dyrektor ds. operacji bezpieczeństwa w Bugcrowd, zwraca uwagę, że zarządzanie kluczami SSH i GPG do podpisywania zatwierdzeń na wielu maszynach wirtualnych i hostach programistów może być uciążliwym i mylącym procesem. Wcześniej programiści zainteresowani podpisanymi zatwierdzeniami zarządzanymi za pomocą par kluczy przechowywali je na swoich kontach GitHub i na swoich komputerach lokalnych.
„Może to utrudnić masowe przyjmowanie podpisanych zatwierdzeń, zmniejszając zdolność organizacji do maksymalnego wykorzystania tej funkcji” — mówi. „Dzięki temu, że 1Password zarządza tym w Twoim imieniu, możesz łatwiej wdrożyć te klucze i bezproblemowo aktualizować konfiguracje”.
Ponieważ 1Password przechowuje klucze SSH, zarządzanie kluczami na wielu urządzeniach staje się łatwiejsze i mniej mylące. Ta funkcja umożliwia również zarządzanie kluczami podpisywania GitHub dla programistów w bardziej skalowalny sposób, mówi Skelton.
„Rozwiązując ten problem, organizacje mogą następnie egzekwować podpisane zatwierdzenia w swoich repozytoriach, korzystając z trybu czujności GitHub, pomagając ograniczyć możliwość błędnego przedstawiania i błędnej interpretacji nazw osób zatwierdzających”, mówi Skelton.
Dzięki podpisanym zatwierdzeniom łatwiej jest zobaczyć, kiedy zatwierdzenie nie zostało podpisane. Możliwe jest również utworzenie zasad bezpieczeństwa aplikacji, które odrzucają niepodpisane zatwierdzenia.
Jak skonfigurować podpisane zatwierdzenia
Oto jak skonfigurować GitHub do używania kluczy SSH do weryfikacji.
- Zaktualizuj do wersji Git 2.34.0 lub nowszej, a następnie przejdź do https://github.com/settings/keys i wybierz „nowy klucz SSH”, a następnie wybierz „Klucz podpisywania”.
- Stamtąd przejdź do pola „Klucz” i wybierz logo 1Password, wybierz „Utwórz klucz SSH”, wpisz tytuł, a następnie wybierz „Utwórz i wypełnij”.
- W ostatnim kroku wybierz „Dodaj klucz SSH”, a część procesu GitHub zostanie zakończona.
Po skonfigurowaniu klucza w GitHub przejdź do 1Password na pulpicie, aby skonfigurować .gitconfig plik do podpisania za pomocą klucza SSH.
- Wybierz opcję „Konfiguruj” w banerze wyświetlanym na górze, gdzie otworzy się okno z fragmentem, który możesz dodać do .gitconfig plik.
- Wybierz opcję „Edytuj automatycznie”, aby 1Password zaktualizował .gitconfig plik jednym kliknięciem.
- Użytkownicy potrzebujący bardziej zaawansowanej konfiguracji mogą skopiować fragment kodu i wykonywać czynności ręcznie.
Zielona plakietka weryfikacyjna ułatwiająca widoczność weryfikacji zostanie następnie dodana do osi czasu, gdy wypchniesz do GitHub.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
