Как использовать SSH-ключи и 1Password для подписи Git-коммитов

1Password упрощает пользователям GitHub настройку подписанных коммитов с помощью SSH ключи. Подписанные коммиты подтверждают, что человек, вносящий изменения в код, является тем, за кого он себя выдает.

Когда код регистрируется в репозитории git, изменение обычно сохраняется с именем человека, отправившего код. Хотя имя коммиттера обычно задается клиентом пользователя, его можно легко изменить на любое другое, что позволяет кому-то подделать сообщения и имена коммитов. Это может иметь последствия для безопасности, если разработчики на самом деле не знают, кто отправил конкретный фрагмент кода.

Фундаментальная нерешенная проблема, лежащая в основе всех проблем кибербезопасности в Интернете, заключается в отсутствии хороших инструментов для подлинной аутентификации живого человека, говорит Джон Бамбенек, главный охотник за угрозами в Netenrich. Упрощение криптографической подписи или подписанных коммитов позволяет организациям иметь более высокий уровень уверенности в личности человека.

«Без этого вы доверяете коммитеру то, за кого он себя выдает, а человек, принимающий коммит, понимает и проверяет коммит на наличие проблем», — добавляет он.

Бамбенек отмечает, что, поскольку преступники всерьез охотятся за кодом в библиотеках с открытым исходным кодом, возможность действительно аутентифицировать людей, продвигающих код, означает, что окно для использования их репозиториев для компрометации других организаций намного меньше.

Простое, масштабируемое управление ключами

Майкл Скелтон, старший директор по безопасности в Bugcrowd, отмечает, что управление ключами SSH и GPG для подписания коммитов на нескольких виртуальных и хост-машинах разработчика может быть громоздким и запутанным процессом. Раньше разработчики, заинтересованные в подписанных коммитах, управляемых с помощью пар ключей, хранили их в своих учетных записях GitHub и на своих локальных компьютерах.

«Это может затруднить массовое внедрение подписанных коммитов, что помешает вашей организации максимально эффективно использовать эту функцию», — говорит он. «Поручив 1Password управлять этим от вашего имени, вы сможете без проблем развертывать эти ключи и обновлять конфигурации».

Поскольку 1Password хранит ключи SSH, управление ключами на нескольких устройствах становится проще и менее запутанным. По словам Скелтона, эта функция также позволяет более масштабируемо управлять ключами подписи GitHub для разработчиков.

«Решив эту проблему, организации могут затем попытаться обеспечить соблюдение подписанных коммитов в своих репозиториях, используя режим бдительности GitHub, помогая ограничить возможность искажения имен коммиттеров и, в свою очередь, неправильного толкования», — говорит Скелтон.

С подписанными коммитами легче увидеть, когда коммит не был подписан. Также можно создать политику безопасности приложений, которая отклоняет неподписанные фиксации.

Как настроить подписанные коммиты

Вот как настроить GitHub для использования ключей SSH для проверки.

1. Обновите до Git 2.34.0 или более поздней версии, затем перейдите к https://github.com/settings/keys и выберите «новый ключ SSH», а затем выберите «Ключ подписи».
2. Оттуда перейдите в поле «Ключ» и выберите логотип 1Password, выберите «Создать ключ SSH», введите заголовок, а затем выберите «Создать и заполнить».
3. На последнем шаге выберите «Добавить ключ SSH», и часть процесса GitHub завершена.

После настройки ключа в GitHub перейдите к 1Password на рабочем столе, чтобы настроить .gitconfig файл для подписи своим SSH-ключом.

1. Выберите опцию «Настроить» в баннере, отображаемом вверху, где откроется окно с фрагментом, который вы можете добавить в .gitconfig .
2. Выберите опцию «Редактировать автоматически», чтобы 1Password обновил .gitconfig файл одним щелчком мыши.
3. Пользователи, нуждающиеся в более сложной настройке, могут скопировать фрагмент и выполнить действия вручную.

Затем на временную шкалу будет добавлен зеленый значок проверки для удобства проверки при отправке на GitHub.