1Password đang giúp người dùng GitHub thiết lập các cam kết đã ký dễ dàng hơn bằng cách sử dụng Khóa SSH. Các cam kết đã ký xác minh rằng người thực hiện thay đổi mã là người mà họ nói.
Khi mã được kiểm tra trong kho lưu trữ git, thay đổi thường được lưu với tên của người gửi mã. Mặc dù tên của người cam kết thường do khách hàng của người dùng đặt, nhưng nó có thể dễ dàng thay đổi thành bất kỳ thứ gì khác, điều này khiến ai đó có thể giả mạo thông báo và tên cam kết. Điều này có thể có ý nghĩa bảo mật nếu các nhà phát triển thực sự không biết ai đã gửi một đoạn mã cụ thể.
John Bambenek, chuyên gia săn mối đe dọa chính tại Netenrich, cho biết vấn đề cơ bản chưa được giải quyết cơ bản của tất cả các vấn đề an ninh mạng trên Internet là thiếu các công cụ tốt để xác thực thực sự một con người sống. Dễ dàng thực hiện ký mật mã hoặc cam kết đã ký cho phép các tổ chức có mức độ đảm bảo cao hơn về danh tính của người đó.
Ông nói thêm: “Nếu không có điều này, bạn đang tin tưởng người cam kết đúng như lời họ nói và người chấp nhận cam kết hiểu và xem xét cam kết để tìm ra các vấn đề.
Bambenek lưu ý rằng bởi vì bọn tội phạm truy lùng mã trong các thư viện mã nguồn mở một cách nghiêm túc, việc có thể xác thực thực sự những người đang đẩy mã có nghĩa là cơ hội sử dụng kho lưu trữ của chúng để xâm phạm các tổ chức khác nhỏ hơn nhiều.
Quản lý khóa dễ dàng hơn, có thể mở rộng
Michael Skelton, giám đốc cấp cao về hoạt động bảo mật tại Bugcrowd, chỉ ra rằng việc quản lý các khóa SSH và GPG để ký các cam kết trên nhiều máy chủ và ảo của nhà phát triển có thể là một quy trình rườm rà và khó hiểu. Trước đây, các nhà phát triển quan tâm đến các cam kết đã ký được quản lý bằng các cặp khóa đã lưu trữ chúng trong tài khoản GitHub và trên máy cục bộ của họ.
Ông nói: “Điều này có thể khiến việc áp dụng hàng loạt các cam kết đã ký trở nên khó khăn, làm giảm khả năng tổ chức của bạn tận dụng tối đa tính năng này. “Bằng cách để 1Password thay mặt bạn quản lý điều này, bạn có thể dễ dàng triển khai các khóa này hơn và cập nhật cấu hình một cách dễ dàng.”
Vì 1Password lưu trữ các khóa SSH nên việc quản lý khóa trên nhiều thiết bị trở nên dễ dàng và ít nhầm lẫn hơn. Tính năng này cũng giúp bạn có thể quản lý các khóa ký GitHub cho các nhà phát triển theo cách có thể mở rộng hơn, Skelton nói.
Skelton nói: “Bằng cách giải quyết vấn đề này, các tổ chức có thể tìm cách thực thi các cam kết đã ký trên kho lưu trữ của họ bằng cách sử dụng chế độ cảnh giác của GitHub, giúp hạn chế khả năng tên người cam kết bị xuyên tạc và bị hiểu sai.
Với các cam kết đã ký, sẽ dễ dàng nhìn thấy khi nào một cam kết chưa được ký. Cũng có thể tạo chính sách bảo mật ứng dụng từ chối các cam kết chưa được ký.
Cách thiết lập cam kết đã ký
Dưới đây là cách thiết lập GitHub để sử dụng khóa SSH để xác minh.
- Cập nhật lên Git 2.34.0 trở lên, sau đó đi tới https://github.com/settings/keys và chọn “khóa SSH mới”, sau đó chọn “Khóa ký”.
- Từ đó, điều hướng đến hộp “Khóa” và chọn biểu trưng 1Password, chọn “Tạo khóa SSH”, điền vào tiêu đề, sau đó chọn “Tạo và điền”.
- Đối với bước cuối cùng, hãy chọn “Thêm khóa SSH” và phần GitHub của quy trình đã hoàn tất.
Sau khi khóa được thiết lập trong GitHub, hãy chuyển đến 1Password trên màn hình của bạn để định cấu hình .gitconfig tệp để ký bằng khóa SSH của họ.
- Chọn tùy chọn "Định cấu hình" trong biểu ngữ được hiển thị ở trên cùng, nơi một cửa sổ sẽ mở ra với một đoạn mã bạn có thể thêm vào .gitconfig tập tin.
- Chọn tùy chọn “Chỉnh sửa tự động” để 1Password cập nhật .gitconfig tập tin bằng một cú nhấp chuột.
- Người dùng cần cấu hình nâng cao hơn có thể sao chép đoạn mã và thực hiện mọi việc theo cách thủ công.
Sau đó, một huy hiệu xác minh màu xanh lục để dễ dàng hiển thị xác minh sẽ được thêm vào dòng thời gian khi bạn chuyển sang GitHub.
