1Password, GitHub kullanıcılarının imzalı taahhütler oluşturmasını kolaylaştırıyor. SSH anahtarları. İmzalı taahhütler, kod değişikliğini yapan kişinin söylediği kişi olduğunu doğrular.
Kod bir git deposunda kontrol edildiğinde, değişiklik genellikle kodu gönderen kişinin adıyla kaydedilir. Sorumlunun adı genellikle kullanıcının istemcisi tarafından belirlenirken, başka herhangi bir şeye kolayca değiştirilebilir, bu da birisinin taahhüt mesajlarını ve adlarını taklit etmesini mümkün kılar. Geliştiriciler belirli bir kod parçasını kimin gönderdiğini gerçekten bilmiyorsa, bunun güvenlikle ilgili sonuçları olabilir.
Netenrich'teki başlıca tehdit avcısı John Bambinek, İnternet'teki tüm siber güvenlik sorunlarının altında yatan temel, çözülmemiş sorunun, canlı bir insanı gerçekten doğrulayacak iyi araçların eksikliği olduğunu söylüyor. Kriptografik imzalamayı veya imzalı taahhütleri kolaylaştırmak, kuruluşların kişinin kimliği hakkında daha yüksek bir güvence düzeyine sahip olmasını sağlar.
"Bu olmadan, taahhüdü verenin söyledikleri kişi olduğuna güveniyorsunuz ve taahhüdü kabul eden kişi taahhüdü anlıyor ve sorunlar için gözden geçiriyor" diye ekliyor.
Bambenek, suçlular açık kaynak kitaplıklarında ciddi bir şekilde kodun peşine düştükleri için, kod göndererek insanların kimliğini gerçekten doğrulayabilmenin, diğer organizasyonları tehlikeye atmak için depolarını kullanma penceresinin çok daha küçük olduğu anlamına geldiğini belirtiyor.
Daha Kolay, Ölçeklenebilir Anahtar Yönetimi
Bugcrowd'da kıdemli güvenlik operasyonları müdürü olan Michael Skelton, birden fazla geliştirici sanal ve ana makine üzerinde taahhütleri imzalamak için SSH ve GPG anahtarlarını yönetmenin hantal ve kafa karıştırıcı bir süreç olabileceğine dikkat çekiyor. Önceden, anahtar çiftleriyle yönetilen imzalı taahhütlerle ilgilenen geliştiriciler, bunları GitHub hesaplarında ve yerel makinelerinde saklıyordu.
"Bu, imzalanan taahhütlerin toplu olarak benimsenmesini zorlaştırabilir ve kuruluşunuzun bu özellikten en iyi şekilde yararlanma yeteneğini bozabilir" diyor. "1Password'ün bunu sizin adınıza yönetmesini sağlayarak, bu anahtarları daha kolay bir şekilde dağıtabilir ve yapılandırmaları sorunsuz bir şekilde güncelleyebilirsiniz."
1Password, SSH anahtarlarını sakladığından, anahtarları birden fazla cihaz üzerinden yönetmek daha kolay ve daha az kafa karıştırıcı hale gelir. Skelton, bu özelliğin geliştiriciler için GitHub imzalama anahtarlarını daha ölçeklenebilir bir şekilde yönetmeyi de mümkün kıldığını söylüyor.
Skelton, "Bu sorunu çözerek, kuruluşlar GitHub'ın uyanık modunu kullanarak depoları üzerinde imzalanmış taahhütleri zorunlu kılmaya çalışabilir ve bu da taahhüt eden adlarının yanlış temsil edilme ve dolayısıyla yanlış yorumlanma yeteneğini sınırlamaya yardımcı olabilir" diyor.
İmzalı taahhütlerle, bir taahhüdün ne zaman imzalanmadığını görmek daha kolaydır. İmzasız taahhütleri reddeden bir uygulama güvenlik politikası oluşturmak da mümkündür.
İmzalı Taahhütler Nasıl Kurulur
Doğrulama için SSH anahtarlarını kullanmak için GitHub'ı nasıl kuracağınız aşağıda açıklanmıştır.
- Git 2.34.0 veya sonraki bir sürümüne güncelleyin, ardından https://github.com/settings/keys ve “yeni SSH anahtarı”nı ve ardından “İmza Anahtarı”nı seçin.
- Buradan, "Anahtar" kutusuna gidin ve 1Password logosunu seçin, "SSH Anahtarı Oluştur"u seçin, bir başlık girin ve ardından "Oluştur ve Doldur"u seçin.
- Son adım için “SSH Anahtarı Ekle”yi seçin ve işlemin GitHub kısmı tamamlandı.
Anahtar GitHub'da ayarlandıktan sonra, masaüstünüzde 1Password'e ilerleyin. .gitconfig SSH anahtarıyla imzalamak için dosya.
- Üstte görüntülenen başlıkta “Yapılandır” seçeneğini seçin; burada, ekleyebileceğiniz bir snippet ile bir pencere açılacaktır. .gitconfig dosyası.
- 1Password'ü güncellemek için “Otomatik Olarak Düzenle” seçeneğini seçin. .gitconfig tek bir tıklama ile dosya.
- Daha gelişmiş yapılandırmaya ihtiyaç duyan kullanıcılar, snippet'i kopyalayabilir ve işleri manuel olarak yapabilir.
GitHub'a bastığınızda, kolay doğrulama görünürlüğü için yeşil bir doğrulama rozeti zaman çizelgesine eklenecektir.
