1Password face mai ușor pentru utilizatorii GitHub să configureze comit-uri semnate folosind chei SSH. Comitetele semnate verifică dacă persoana care face modificarea codului este cine spune că este.
Când codul este verificat într-un depozit git, modificarea este de obicei salvată cu numele persoanei care trimite codul. În timp ce numele committerului este de obicei setat de clientul utilizatorului, acesta poate fi ușor schimbat cu orice altceva, ceea ce face posibil ca cineva să falsifice mesajele și numele de commit. Acest lucru poate avea implicații de securitate dacă dezvoltatorii nu știu de fapt cine a trimis o anumită bucată de cod.
Problema fundamentală, nerezolvată, care stă la baza tuturor problemelor de securitate cibernetică de pe Internet este lipsa unor instrumente bune pentru a autentica cu adevărat o ființă umană vie, spune John Bambenek, principalul vânător de amenințări la Netenrich. Simplificarea semnării criptografice sau a comiterilor semnate permite organizațiilor să aibă un nivel mai ridicat de asigurare cu privire la identitatea persoanei.
„Fără aceasta, ai încredere în committer-ul este cine spune că este, iar persoana care acceptă commit-ul înțelege și analizează commit-ul pentru probleme”, adaugă el.
Bambenek observă că, deoarece criminalii caută cu seriozitate codul din bibliotecile open source, posibilitatea de a autentifica cu adevărat oamenii care împing cod înseamnă că fereastra de a-și folosi depozitele pentru a compromite alte organizații este mult mai mică.
Managementul cheilor mai ușor și scalabil
Michael Skelton, director senior al operațiunilor de securitate la Bugcrowd, subliniază că gestionarea cheilor SSH și GPG pentru semnarea commit-urilor pe mai multe mașini virtuale și gazdă de dezvoltator poate fi un proces greoi și confuz. Anterior, dezvoltatorii interesați de comite-uri semnate gestionate cu perechi de chei le stocau în conturile GitHub și pe mașinile lor locale.
„Acest lucru poate face dificilă adoptarea în masă a angajamentelor semnate, afectând capacitatea organizației dumneavoastră de a profita la maximum de această funcție”, spune el. „Prin 1Password să gestioneze acest lucru în numele dvs., puteți implementa mai ușor aceste chei și puteți actualiza configurațiile fără probleme.”
Deoarece 1Password stochează cheile SSH, devine mai ușor și mai puțin confuz să gestionați cheile pe mai multe dispozitive. Această caracteristică face, de asemenea, posibilă gestionarea cheilor de semnare GitHub pentru dezvoltatori într-un mod mai scalabil, spune Skelton.
„Rezolvând această problemă, organizațiile pot încerca apoi să impună comit-uri semnate asupra depozitelor lor folosind modul vigilent al GitHub, contribuind la limitarea capacității ca numele de committer să fie denaturate și, la rândul lor, interpretate greșit”, spune Skelton.
Cu commit-uri semnate, este mai ușor să vezi când un commit nu a fost semnat. De asemenea, este posibil să creați o politică de securitate a aplicației care respinge comiterile nesemnate.
Cum să configurați comisioane semnate
Iată cum să configurați GitHub pentru a utiliza cheile SSH pentru verificare.
- Actualizați la Git 2.34.0 sau o versiune ulterioară, apoi accesați https://github.com/settings/keys și selectați „cheie SSH nouă”, urmată de selectarea „Cheie de semnare”.
- De acolo, navigați la caseta „Cheie” și selectați sigla 1Password, selectați „Creați cheia SSH”, completați un titlu, apoi selectați „Creați și completați”.
- Pentru ultimul pas, selectați „Adăugați cheia SSH”, iar partea GitHub a procesului este completă.
Odată ce cheia este configurată în GitHub, treceți la 1Password de pe desktop pentru a configura .gitconfig fișier pentru a semna cu cheia lor SSH.
- Selectați opțiunea „Configurare” din bannerul afișat în partea de sus, unde se va deschide o fereastră cu un fragment pe care îl puteți adăuga la .gitconfig fișier.
- Selectați opțiunea „Editați automat” pentru ca 1Password să actualizeze .gitconfig fișier cu un singur clic.
- Utilizatorii care au nevoie de o configurație mai avansată pot copia fragmentul și pot face lucrurile manual.
O insignă de verificare verde pentru o vizibilitate ușoară a verificării va fi adăugată în cronologie atunci când apăsați pe GitHub.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
