1Password gör det enklare för GitHub-användare att ställa in undertecknade åtaganden med hjälp av SSH-nycklar. Undertecknade åtaganden verifierar att personen som gör kodändringen är den de säger att de är.
När koden checkas in i ett git-förråd, sparas ändringen vanligtvis med namnet på personen som skickar koden. Medan committens namn vanligtvis ställs in av användarens klient, kan det enkelt ändras till något annat, vilket gör det möjligt för någon att förfalska commit-meddelandena och namnen. Detta kan få säkerhetskonsekvenser om utvecklarna inte vet vem som skickat in en viss kod.
Det grundläggande, olösta problemet som ligger bakom alla cybersäkerhetsproblem på Internet är bristen på bra verktyg för att verkligen ge en levande människa, säger John Bambenek, huvudhotsjägare på Netenrich. Genom att göra kryptografisk signering, eller signerade commits, enkelt gör det möjligt för organisationer att ha en högre grad av säkerhet om personens identitet.
"Utan detta litar du på att begåvaren är den de säger att de är, och den person som accepterar åtagandet förstår och granskar åtagandet för problem", tillägger han.
Bambenek noterar att eftersom brottslingar går efter kod i bibliotek med öppen källkod på allvar, innebär det att möjligheten att verkligen autentisera personer som trycker kod innebär att fönstret för att använda sina arkiv för att äventyra andra organisationer är mycket mindre.
Enklare, skalbar nyckelhantering
Michael Skelton, senior chef för säkerhetsoperationer på Bugcrowd, påpekar att det kan vara en besvärlig och förvirrande process att hantera SSH- och GPG-nycklar för signering av åtaganden över flera virtuella utvecklare och värdmaskiner. Tidigare har utvecklare som är intresserade av signerade åtaganden som hanteras med nyckelpar lagrat dem i sina GitHub-konton och på sina lokala maskiner.
"Detta kan göra massantagande av undertecknade åtaganden svårt, vilket försämrar förmågan för din organisation att få ut det mesta av den här funktionen", säger han. "Genom att låta 1Password hantera detta för din räkning kan du enklare distribuera dessa nycklar och uppdatera konfigurationer problemfritt."
Eftersom 1Password lagrar SSH-nycklarna blir det enklare och mindre förvirrande att hantera nycklar över flera enheter. Den här funktionen gör det också möjligt att hantera GitHub-signeringsnycklar för utvecklare på ett mer skalbart sätt, säger Skelton.
"Genom att lösa det här problemet kan organisationer sedan se till att genomdriva undertecknade åtaganden över sina arkiv med GitHubs vaksamma läge, vilket hjälper till att begränsa möjligheten för namn på uppdragsgivare att felaktigt framställas och i sin tur misstolkas", säger Skelton.
Med undertecknade commits är det lättare att se när en commit inte har undertecknats. Det är också möjligt att skapa en programsäkerhetspolicy som avvisar osignerade åtaganden.
Hur man ställer in undertecknade åtaganden
Så här ställer du in GitHub för att använda SSH-nycklar för verifiering.
- Uppdatera till Git 2.34.0 eller senare och gå sedan till https://github.com/settings/keys och välj "ny SSH-nyckel" följt av att välja "Signeringsnyckel".
- Därifrån navigerar du till rutan "Nyckel" och väljer 1Password-logotypen, välj "Skapa SSH-nyckel", fyll i en titel och välj sedan "Skapa och fyll".
- För det sista steget, välj "Lägg till SSH-nyckel" och GitHub-delen av processen är klar.
När nyckeln är inställd i GitHub, fortsätt till 1Password på skrivbordet för att konfigurera din .gitconfig fil för att signera med sin SSH-nyckel.
- Välj alternativet "Konfigurera" i bannern som visas överst, där ett fönster öppnas med ett utdrag som du kan lägga till i .gitconfig fil.
- Välj alternativet "Redigera automatiskt" för att få 1Password att uppdatera .gitconfig fil med ett klick.
- Användare i behov av mer avancerad konfiguration kan kopiera kodavsnittet och göra saker manuellt.
En grön verifieringsbricka för enkel verifieringssynlighet kommer sedan att läggas till på tidslinjen när du trycker på GitHub.
