Kako uporabljati ključe SSH in 1Password za podpisovanje Git Commits

1Password uporabnikom GitHuba olajša nastavitev podpisanih potrditev z uporabo SSH ključi. Podpisane potrditve potrjujejo, da je oseba, ki spreminja kodo, tista, za katero se predstavlja.

Ko se koda preveri v repozitorij git, se sprememba običajno shrani z imenom osebe, ki je predložila kodo. Medtem ko ime izvajalca običajno nastavi uporabnikov odjemalec, ga je mogoče enostavno spremeniti v kar koli drugega, kar omogoči, da nekdo ponaredi sporočila in imena objave. To ima lahko varnostne posledice, če razvijalci dejansko ne vedo, kdo je poslal določen del kode.

Temeljna, nerešena težava, ki je podlaga za vse težave kibernetske varnosti na internetu, je pomanjkanje dobrih orodij za resnično pristno živo človeško bitje, pravi John Bambenek, glavni lovec na grožnje pri Netenrichu. Preprosto kriptografsko podpisovanje ali podpisane potrditve omogoča organizacijam višjo raven zagotovila o identiteti osebe.

»Brez tega verjamete, da je izvajalec zavezancev tisti, za katerega se predstavlja, in oseba, ki sprejme objavo, razume objavo in jo pregleda glede težav,« dodaja.

Bambenek ugotavlja, da ker kriminalci resno iščejo kodo v odprtokodnih knjižnicah, zmožnost resničnega preverjanja pristnosti ljudi, ki potiskajo kodo, pomeni, da je možnost uporabe njihovih repozitorijev za ogrožanje drugih organizacij veliko manjša.

Lažje, razširljivo upravljanje ključev

Michael Skelton, višji direktor varnostnih operacij pri Bugcrowdu, poudarja, da je lahko upravljanje ključev SSH in GPG za podpisovanje potrditev prek več virtualnih in gostiteljskih strojev za razvijalce okoren in zmeden postopek. Prej so razvijalci, ki so jih zanimale podpisane objave, upravljane s pari ključev, te shranili v svoje račune GitHub in na svojih lokalnih računalnikih.

»To lahko oteži množično sprejemanje podpisanih zavez, kar zmanjša sposobnost vaše organizacije, da kar najbolje izkoristi to funkcijo,« pravi. "Če imate 1Password upravljanje tega v vašem imenu, lahko lažje namestite te ključe in posodobite konfiguracije brez težav."

Ker 1Password shranjuje ključe SSH, postane upravljanje ključev v več napravah lažje in manj zmedeno. Ta funkcija omogoča tudi upravljanje podpisnih ključev GitHub za razvijalce na bolj razširljiv način, pravi Skelton.

»Z rešitvijo te težave lahko organizacije nato poskušajo uveljaviti podpisane potrditve nad svojimi repozitoriji z GitHubovim budnim načinom, kar pomaga omejiti zmožnost napačne predstavitve in posledično napačne interpretacije imen izvršiteljev,« pravi Skelton.

S podpisanimi objavami je lažje videti, kdaj objava ni bila podpisana. Prav tako je mogoče ustvariti varnostno politiko aplikacije, ki zavrača nepodpisane potrditve.

Kako nastaviti podpisane potrditve

Tukaj je opisano, kako nastavite GitHub za uporabo ključev SSH za preverjanje.

1. Posodobite na Git 2.34.0 ali novejšo različico, nato pojdite na https://github.com/settings/keys in izberite »nov ključ SSH«, nato pa izberite »Ključ za podpisovanje«.
2. Od tam se pomaknite do polja »Ključ« in izberite logotip 1Password, izberite »Ustvari ključ SSH«, vnesite naslov in nato izberite »Ustvari in izpolni«.
3. Za zadnji korak izberite »Dodaj ključ SSH« in del postopka GitHub je končan.

Ko je ključ nastavljen v GitHubu, pojdite na 1Password na namizju, da konfigurirate .gitconfig datoteko za podpis s svojim ključem SSH.

1. Izberite možnost »Konfiguriraj« v pasici, prikazani na vrhu, kjer se odpre okno z delčkom, ki ga lahko dodate v .gitconfig Datoteka.
2. Izberite možnost »Samodejno uredi«, da bo 1Password posodobil .gitconfig datoteko z enim klikom.
3. Uporabniki, ki potrebujejo naprednejšo konfiguracijo, lahko kopirajo delček in stvari naredijo ročno.

Zelena značka za preverjanje za enostavno vidljivost preverjanja bo nato dodana na časovnico, ko pritisnete na GitHub.