1Password está tornando mais fácil para os usuários do GitHub configurar commits assinados usando Chaves SSH. Os commits assinados verificam se a pessoa que está fazendo a alteração do código é quem diz ser.
Quando o código é verificado em um repositório git, a alteração geralmente é salva com o nome da pessoa que envia o código. Embora o nome do committer seja normalmente definido pelo cliente do usuário, ele pode ser facilmente alterado para qualquer outro nome, o que possibilita que alguém falsifique as mensagens e os nomes do commit. Isso pode ter implicações de segurança se os desenvolvedores não souberem realmente quem enviou um determinado trecho de código.
O problema fundamental e não resolvido subjacente a todos os problemas de segurança cibernética na Internet é a falta de boas ferramentas para autenticar verdadeiramente um ser humano vivo, diz John Bambenek, principal caçador de ameaças da Netenrich. Facilitar a assinatura criptográfica, ou commits assinados, permite que as organizações tenham um nível mais alto de garantia sobre a identidade da pessoa.
“Sem isso, você está confiando que o committer é quem ele diz ser, e que a pessoa que aceita o commit entende e analisa o commit em busca de problemas”, acrescenta.
Bambenek observa que, como os criminosos estão perseguindo seriamente o código em bibliotecas de código aberto, ser capaz de autenticar verdadeiramente as pessoas que enviam código significa que a janela para usar seus repositórios para comprometer outras organizações é muito menor.
Gerenciamento de chaves mais fácil e escalável
Michael Skelton, diretor sênior de operações de segurança da Bugcrowd, destaca que o gerenciamento de chaves SSH e GPG para assinatura de commits em várias máquinas virtuais e host de desenvolvedores pode ser um processo complicado e confuso. Anteriormente, os desenvolvedores interessados em commits assinados gerenciados com pares de chaves os armazenavam em suas contas GitHub e em suas máquinas locais.
“Isso pode dificultar a adoção em massa de commits assinados, prejudicando a capacidade da sua organização de aproveitar ao máximo esse recurso”, diz ele. “Ao fazer com que o 1Password gerencie isso em seu nome, você pode implantar essas chaves com mais facilidade e atualizar as configurações sem complicações.”
Como o 1Password armazena as chaves SSH, fica mais fácil e menos confuso gerenciar chaves em vários dispositivos. Esse recurso também possibilita gerenciar chaves de assinatura do GitHub para desenvolvedores de uma forma mais escalonável, diz Skelton.
“Ao resolver esse problema, as organizações podem então tentar impor commits assinados em seus repositórios usando o modo vigilante do GitHub, ajudando a limitar a capacidade dos nomes dos committers serem deturpados e, por sua vez, mal interpretados”, diz Skelton.
Com commits assinados, é mais fácil ver quando um commit não foi assinado. Também é possível criar uma política de segurança de aplicação que rejeite commits não assinados.
Como configurar compromissos assinados
Veja como configurar o GitHub para usar chaves SSH para verificação.
- Atualize para Git 2.34.0 ou posterior e vá para https://github.com/settings/keys e selecione “nova chave SSH”, seguido de “Chave de assinatura”.
- A partir daí, navegue até a caixa “Chave” e selecione o logotipo 1Password, selecione “Criar chave SSH”, preencha um título e selecione “Criar e preencher”.
- Para a última etapa, selecione “Adicionar chave SSH” e a parte do processo no GitHub estará concluída.
Depois que a chave estiver configurada no GitHub, prossiga para 1Password em sua área de trabalho para configurar seu .gitconfig arquivo para assinar com sua chave SSH.
- Selecione a opção “Configurar” no banner exibido na parte superior, onde será aberta uma janela com um trecho que você pode adicionar ao .gitconfig arquivo.
- Selecione a opção “Editar automaticamente” para que o 1Password atualize o .gitconfig arquivo com um clique.
- Os usuários que precisam de uma configuração mais avançada podem copiar o snippet e fazer as coisas manualmente.
Um selo de verificação verde para facilitar a visibilidade da verificação será adicionado à linha do tempo quando você enviar para o GitHub.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
