1Password, GitHub kullanıcılarının imzalı taahhütler oluşturmasını kolaylaştırıyor. SSH anahtarları. İmzalı taahhütler, kod değişikliğini yapan kişinin söylediği kişi olduğunu doğrular.
Kod bir git deposunda kontrol edildiğinde, değişiklik genellikle kodu gönderen kişinin adıyla kaydedilir. Sorumlunun adı genellikle kullanıcının istemcisi tarafından belirlenirken, başka herhangi bir şeye kolayca değiştirilebilir, bu da birisinin taahhüt mesajlarını ve adlarını taklit etmesini mümkün kılar. Geliştiriciler belirli bir kod parçasını kimin gönderdiğini gerçekten bilmiyorsa, bunun güvenlikle ilgili sonuçları olabilir.
Netenrich’teki başlıca tehdit avcısı John Bambinek, İnternet’teki tüm siber güvenlik sorunlarının altında yatan temel, çözülmemiş sorunun, canlı bir insanı gerçekten doğrulayacak iyi araçların eksikliği olduğunu söylüyor. Kriptografik imzalamayı veya imzalı taahhütleri kolaylaştırmak, kuruluşların kişinin kimliği hakkında daha yüksek bir güvence düzeyine sahip olmasını sağlar.
“Bu olmadan, taahhüt edenin söylediği kişi olduğuna güveniyorsunuz ve taahhüdü kabul eden kişi, taahhüdü problemler için anlıyor ve gözden geçiriyor” diye ekliyor.
Bambenek, suçlular açık kaynak kitaplıklarında ciddi bir şekilde kodun peşine düştükleri için, kod göndererek insanların kimliğini gerçekten doğrulayabilmenin, diğer organizasyonları tehlikeye atmak için depolarını kullanma penceresinin çok daha küçük olduğu anlamına geldiğini belirtiyor.
Daha Kolay, Ölçeklenebilir Anahtar Yönetimi
Bugcrowd’da güvenlik operasyonları kıdemli direktörü Michael Skelton, birden fazla geliştirici sanal ve ana makine üzerinde imzalama taahhütleri için SSH ve GPG anahtarlarının yönetilmesinin hantal ve kafa karıştırıcı bir süreç olabileceğine dikkat çekiyor. Önceden, anahtar çiftleriyle yönetilen imzalı taahhütlerle ilgilenen geliştiriciler, bunları GitHub hesaplarında ve yerel makinelerinde depolardı.
“Bu, imzalanan taahhütlerin toplu olarak benimsenmesini zorlaştırabilir ve kuruluşunuzun bu özellikten en iyi şekilde yararlanma yeteneğini bozabilir” diyor. “1Password’ün bunu sizin adınıza yönetmesini sağlayarak, bu anahtarları daha kolay bir şekilde dağıtabilir ve yapılandırmaları sorunsuz bir şekilde güncelleyebilirsiniz.”
1Password, SSH anahtarlarını sakladığından, anahtarları birden fazla cihaz üzerinden yönetmek daha kolay ve daha az kafa karıştırıcı hale gelir. Skelton, bu özelliğin geliştiriciler için GitHub imzalama anahtarlarını daha ölçeklenebilir bir şekilde yönetmeyi de mümkün kıldığını söylüyor.
Skelton, “Bu sorunu çözerek kuruluşlar, GitHub’ın uyanık modunu kullanarak depoları üzerinde imzalı taahhütleri zorunlu kılmaya çalışabilir ve bu da taahhüt eden adlarının yanlış temsil edilme ve dolayısıyla yanlış yorumlanma yeteneğini sınırlamaya yardımcı olabilir” diyor.
İmzalı taahhütlerle, bir taahhüdün ne zaman imzalanmadığını görmek daha kolaydır. İmzasız taahhütleri reddeden bir uygulama güvenlik politikası oluşturmak da mümkündür.
İmzalı Taahhütler Nasıl Kurulur
Doğrulama için SSH anahtarlarını kullanmak için GitHub’ı nasıl kuracağınız aşağıda açıklanmıştır.
- Git 2.34.0 veya sonraki bir sürümüne güncelleyin, ardından https://github.com/settings/keys ve “yeni SSH anahtarı”nı ve ardından “İmzalama Anahtarı”nı seçin.
- Buradan “Anahtar” kutusuna gidin ve 1Password logosunu seçin, “SSH Anahtarı Oluştur”u seçin, bir başlık girin ve ardından “Oluştur ve Doldur”u seçin.
- Son adım için “SSH Anahtarı Ekle”yi seçin ve işlemin GitHub kısmı tamamlandı.
Anahtar GitHub’da ayarlandıktan sonra, masaüstünüzde 1Password’e ilerleyin. .gitconfig SSH anahtarıyla imzalamak için dosya.
- Üstte görüntülenen başlıkta “Yapılandır” seçeneğini seçin; burada, ekleyebileceğiniz bir snippet içeren bir pencere açılır. .gitconfig dosya.
- 1Password’ü güncellemek için “Otomatik Olarak Düzenle” seçeneğini seçin. .gitconfig tek bir tıklama ile dosya.
- Daha gelişmiş yapılandırmaya ihtiyaç duyan kullanıcılar, snippet’i kopyalayabilir ve işleri manuel olarak yapabilir.
GitHub’a bastığınızda, kolay doğrulama görünürlüğü için yeşil bir doğrulama rozeti zaman çizelgesine eklenecektir.