1Password полегшує користувачам GitHub налаштування підписаних комітів за допомогою Ключі SSH. Підписані коміти підтверджують, що особа, яка змінює код, є тією, за кого себе видає.
Коли код перевіряється в репозиторії git, зміни зазвичай зберігаються з іменем особи, яка надсилає код. Хоча ім’я комітора зазвичай встановлюється клієнтом користувача, його можна легко змінити на будь-яке інше, що дає змогу комусь підробити повідомлення та імена комітів. Це може мати наслідки для безпеки, якщо розробники насправді не знають, хто надіслав певний фрагмент коду.
Фундаментальна, невирішена проблема, що лежить в основі всіх проблем кібербезпеки в Інтернеті, полягає у відсутності хороших інструментів для по-справжньому автентичної живої людини, каже Джон Бамбенек, головний мисливець за загрозами в Netenrich. Просте створення криптографічного підпису або підписаних комітів дозволяє організаціям мати вищий рівень впевненості щодо особистості людини.
«Без цього ви довіряєте комітеру — це те, за кого вони себе видають, а особа, яка приймає коміт, розуміє й перевіряє коміт на наявність проблем», — додає він.
Бамбенек зазначає, що оскільки злочинці серйозно переслідують код у бібліотеках з відкритим кодом, можливість справді автентифікувати людей, які просувають код, означає, що вікно використання їхніх сховищ для компрометації інших організацій набагато менше.
Простіше, масштабоване керування ключами
Майкл Скелтон, старший директор з питань безпеки в Bugcrowd, зазначає, що керування ключами SSH і GPG для підписання комітів на кількох віртуальних і хост-машинах розробників може бути громіздким і заплутаним процесом. Раніше розробники, зацікавлені в підписаних комітах, керованих парами ключів, зберігали їх у своїх облікових записах GitHub і на локальних машинах.
«Це може ускладнити масове впровадження підписаних комітів, погіршуючи здатність вашої організації максимально використовувати цю функцію», — каже він. «Якщо 1Password керує цим від вашого імені, ви зможете легше розгортати ці ключі та безпроблемно оновлювати конфігурації».
Оскільки 1Password зберігає ключі SSH, стає легше та менш заплутано керувати ключами на кількох пристроях. Ця функція також дає змогу керувати ключами підпису GitHub для розробників у більш масштабований спосіб, каже Скелтон.
«Вирішивши цю проблему, організації зможуть застосувати підписані коміти у своїх репозиторіях за допомогою режиму пильності GitHub, допомагаючи обмежити можливість неправильного представлення та, у свою чергу, неправильного тлумачення імен комітів», — каже Скелтон.
З підписаними комітами легше побачити, коли коміти не підписані. Також можна створити політику безпеки програми, яка відхиляє непідписані коміти.
Як налаштувати підписані коміти
Ось як налаштувати GitHub на використання ключів SSH для перевірки.
- Оновіть Git до 2.34.0 або новішої версії, а потім перейдіть до https://github.com/settings/keys і виберіть «новий ключ SSH», а потім виберіть «Ключ підпису».
- Звідти перейдіть до поля «Ключ» і виберіть логотип 1Password, виберіть «Створити ключ SSH», введіть назву, а потім виберіть «Створити та заповнити».
- На останньому кроці виберіть «Додати ключ SSH», і частина процесу GitHub завершена.
Після налаштування ключа в GitHub перейдіть до 1Password на робочому столі, щоб налаштувати .gitconfig файл для підпису своїм ключем SSH.
- Виберіть опцію «Налаштувати» на банері, що відображається вгорі, де відкриється вікно з фрагментом, який ви можете додати до .gitconfig файлу.
- Виберіть опцію «Редагувати автоматично», щоб 1Password оновив .gitconfig файл одним клацанням миші.
- Користувачі, яким потрібна більш розширена конфігурація, можуть скопіювати фрагмент і зробити щось вручну.
Зелений значок перевірки для легкої видимості перевірки буде додано на часову шкалу, коли ви натискатимете на GitHub.
