1 پاس ورڈ GitHub کے صارفین کے لیے استعمال کرتے ہوئے دستخط شدہ کمٹ سیٹ اپ کرنا آسان بنا رہا ہے۔ SSH چابیاں. دستخط شدہ کمٹ اس بات کی تصدیق کرتے ہیں کہ کوڈ میں تبدیلی کرنے والا وہ شخص ہے جو وہ کہتے ہیں کہ وہ ہیں۔
جب کوڈ کو گٹ ریپوزٹری میں چیک کیا جاتا ہے، تو تبدیلی کو عام طور پر کوڈ جمع کرنے والے شخص کے نام کے ساتھ محفوظ کیا جاتا ہے۔ اگرچہ کمٹ کرنے والے کا نام عام طور پر صارف کے کلائنٹ کے ذریعہ سیٹ کیا جاتا ہے، اسے آسانی سے کسی اور چیز میں تبدیل کیا جا سکتا ہے، جس سے کسی کے لیے کمٹ کے پیغامات اور ناموں کو دھوکہ دینا ممکن ہو جاتا ہے۔ اس کے حفاظتی مضمرات ہو سکتے ہیں اگر ڈویلپرز حقیقت میں نہیں جانتے کہ کوڈ کا ایک خاص ٹکڑا کس نے جمع کرایا ہے۔
انٹرنیٹ پر سائبرسیکیوریٹی کے تمام مسائل کا بنیادی، حل نہ ہونے والا مسئلہ ایک زندہ انسان کو حقیقی معنوں میں مستند بنانے کے لیے اچھے ٹولز کا فقدان ہے، جان بامبینک، نیٹنرچ کے پرنسپل خطرے کے شکاری کہتے ہیں۔ کرپٹوگرافک دستخط کرنا، یا دستخط شدہ کمٹ، آسان تنظیموں کو اس شخص کی شناخت کے بارے میں اعلیٰ سطح کی یقین دہانی کی اجازت دیتا ہے۔
"اس کے بغیر، آپ کمٹ کرنے والے پر بھروسہ کر رہے ہیں جو وہ کہتے ہیں کہ وہ ہیں، اور وہ شخص جو اس عہد کو قبول کرتا ہے وہ مسائل کو سمجھتا اور اس کا جائزہ لیتا ہے،" وہ مزید کہتے ہیں۔
Bambenek نوٹ کرتا ہے کہ چونکہ مجرم کھلے منبع لائبریریوں میں کوڈ کے پیچھے جا رہے ہیں، لوگوں کو کوڈ کو آگے بڑھانے کی صحیح معنوں میں توثیق کرنے کے قابل ہونے کا مطلب ہے کہ دوسری تنظیموں سے سمجھوتہ کرنے کے لیے ان کے ذخیروں کو استعمال کرنے کی ونڈو بہت چھوٹی ہے۔
آسان، توسیع پذیر کلیدی انتظام
Bugcrowd میں سیکورٹی آپریشنز کے سینئر ڈائریکٹر مائیکل سکیلٹن نے نشاندہی کی ہے کہ متعدد ڈویلپر ورچوئل اور ہوسٹ مشینوں پر دستخط کرنے کے لیے SSH اور GPG کیز کا انتظام کرنا ایک بوجھل اور الجھا ہوا عمل ہو سکتا ہے۔ اس سے پہلے، کلیدی جوڑوں کے ساتھ منظم دستخط شدہ وعدوں میں دلچسپی رکھنے والے ڈویلپرز انہیں اپنے GitHub اکاؤنٹس اور اپنی مقامی مشینوں میں محفوظ کرتے تھے۔
"اس سے دستخط شدہ کمٹٹس کو بڑے پیمانے پر اپنانا مشکل ہو سکتا ہے، جس سے آپ کی تنظیم کی اس خصوصیت سے زیادہ سے زیادہ فائدہ اٹھانے کی صلاحیت متاثر ہو سکتی ہے،" وہ کہتے ہیں۔ "اپنی طرف سے 1 پاس ورڈ کا انتظام کرنے سے، آپ ان کیز کو زیادہ آسانی سے تعینات کر سکتے ہیں اور کنفیگریشنز کو بغیر کسی پریشانی کے اپ ڈیٹ کر سکتے ہیں۔"
چونکہ 1 پاس ورڈ SSH کیز کو اسٹور کرتا ہے، اس لیے متعدد آلات پر کلیدوں کا نظم کرنا آسان، اور کم مبہم ہو جاتا ہے۔ سکیلٹن کا کہنا ہے کہ اس خصوصیت سے ڈویلپرز کے لیے GitHub سائننگ کیز کو زیادہ قابل توسیع انداز میں منظم کرنا بھی ممکن ہو جاتا ہے۔
سکیلٹن کا کہنا ہے کہ "اس مسئلے کو حل کرکے، تنظیمیں پھر GitHub کے چوکس موڈ کا استعمال کرتے ہوئے اپنے ذخیروں پر دستخط شدہ وعدوں کو نافذ کرنے کی کوشش کر سکتی ہیں، جس سے کمٹٹرز کے ناموں کو غلط طریقے سے پیش کرنے اور اس کی غلط تشریح کرنے کی صلاحیت کو محدود کرنے میں مدد ملتی ہے۔"
دستخط شدہ کمٹ کے ساتھ، یہ دیکھنا آسان ہے کہ کب کسی کمٹ پر دستخط نہیں کیے گئے ہیں۔ ایک ایسی ایپلیکیشن سیکیورٹی پالیسی بنانا بھی ممکن ہے جو غیر دستخط شدہ وعدوں کو مسترد کرتی ہے۔
دستخط شدہ کمٹ کو کیسے ترتیب دیا جائے۔
توثیق کے لیے SSH کیز استعمال کرنے کے لیے GitHub کو ترتیب دینے کا طریقہ یہاں ہے۔
- Git 2.34.0 یا بعد میں اپ ڈیٹ کریں، پھر جائیں۔ https://github.com/settings/keys اور "نئی SSH کلید" کو منتخب کریں، اس کے بعد "سائننگ کی" کو منتخب کریں۔
- وہاں سے، "کلید" باکس پر جائیں اور 1 پاس ورڈ لوگو کو منتخب کریں، "SSH کلید بنائیں" کو منتخب کریں، ایک عنوان بھریں، اور پھر "بنائیں اور بھریں" کو منتخب کریں۔
- آخری مرحلے کے لیے، "SSH کلید شامل کریں" کو منتخب کریں اور اس عمل کا GitHub حصہ مکمل ہو گیا ہے۔
GitHub میں کلید سیٹ ہونے کے بعد، اپنے ڈیسک ٹاپ پر 1 پاس ورڈ پر جائیں .gitconfig اپنی SSH کلید کے ساتھ دستخط کرنے کے لیے فائل۔
- سب سے اوپر دکھائے جانے والے بینر میں "کنفیگر" آپشن کو منتخب کریں، جہاں ایک ونڈو کھلے گی جس میں ایک ٹکڑا آپ شامل کر سکتے ہیں۔ .gitconfig فائل.
- 1 پاس ورڈ کو اپ ڈیٹ کرنے کے لیے "خودکار طریقے سے ترمیم کریں" کا اختیار منتخب کریں۔ .gitconfig ایک کلک کے ساتھ فائل.
- جن صارفین کو زیادہ جدید ترتیب کی ضرورت ہے وہ ٹکڑا کاپی کر سکتے ہیں اور چیزیں دستی طور پر کر سکتے ہیں۔
جب آپ GitHub پر پش کریں گے تو تصدیق کی آسان مرئیت کے لیے ایک سبز تصدیقی بیج پھر ٹائم لائن میں شامل کر دیا جائے گا۔
