Signierte Git-Commits schützen Software-Lieferketten

Signierte Git-Commits schützen Software-Lieferketten

Beitrag teilen

Mithilfe eines neuen Open-Source-Projekts können Softwareentwickler und DevOPs Git-Commits einfach und sicher digital signieren. Ein Git-Commit ist ein Versionskontrollsystem, das Änderungen in Softwareprojekten verfolgt.

Ein Git-Commit ist ein Snapshot der Änderungen zu einem bestimmten Zeitpunkt festhält, begleitet von einem kurzen Bericht, der die Anpassungen beschreibt. Keeper und die Entwickler von The Migus Group kooperieren, um eine Open-Source-Lösung zum Signieren von Git-Commits mit SSH-Schlüsseln zu entwickeln, die im Keeper Vault eines Benutzers gespeichert sind. Die Integration stellt Entwicklern ein sicheres und verschlüsseltes Repository für ihre SSH-Schlüssel zur Verfügung und eliminiert die Praxis, diese auf der Festplatte zu speichern, was sowohl die Sicherheit erhöht als auch die DevOps-Workflows verbessert.

Anzeige

Signierte Git-Commits bestätigen Urheberschaft

Die Zunahme von Angriffen auf die Software-Lieferkette unterstreicht die Notwendigkeit für Unternehmen, die Sicherheit zu priorisieren. Das Signieren von Git-Commits ist eine empfohlene Best Practice für Entwickler, um die Authentizität und Integrität von Code-Releases zu bestätigen. Wenn Entwickler Commits mit SSH-Schlüsseln signieren, erhalten sie einen kryptografischen Nachweis der Urheberschaft, der zur Sicherheit der Lieferkette beiträgt, indem er den Benutzern versichert, dass die Software aus einer legitimen Quelle stammt und seit der Signierung unverändert geblieben ist. Digitale Signaturen können auch in eine Software Bill of Materials (SBOM) einfließen, um anzuzeigen, ob eine Position in der SBOM je nach dem Status der Codesignatur vertrauenswürdig ist.

Ein komplexer Prozeß wird einfacher

„Die Möglichkeit, SSH-Schlüssel und andere Berechtigungsnachweise in Keeper Vault zu speichern, bietet eine Ebene des Schutzes und der Benutzerfreundlichkeit, die bisher nicht üblich war“, so Craig Lurey, CTO und Mitbegründer von Keeper Security. „Unsere Integration ermöglicht es Entwicklern, den Softwarecode mit einer kryptografischen digitalen Signatur und einer transparenten Protokollierung zu validieren, wodurch ein bisher komplexer Prozess zu einem einfachen wird. In Zukunft wird der gesamte Code signiert sein, und die Software-Lieferkette wird eine einzige, valide Quelle haben, die Angriffe auf die Lieferkette reduziert.“

„Unsere Kunden bitten uns um Hilfe, um sich vor Angriffen auf ihre Lieferkette zu schützen, und wir haben bereits daran gearbeitet, oft unter Verwendung von Keeper“, sagt Adam Migus, Gründer und CEO von The Migus Group. „Daher sind wir überzeugt, dass eine Zusammenarbeit mit Keeper, um den Git-Commit-Signierungsprozess sowohl sicherer als auch einfacher zu machen, eine Win-Win-Win-Situation ist. Unsere Kunden können jetzt nahtlos Commits mit Schlüsseln signieren, die ihren Tresor nie verlassen. Aber auch die breitere Community erhält ein Beispiel für sicheres Commit-Signing mit den Vorteilen einer zentralen Schlüsselverwaltung.“

Cloud-basierte Zero-Knowledge-Plattform sichert Infrastrukturgeheimnisse

Die SSH-Schlüssel für das Signieren von Commits werden in Keeper Secrets Manager KSM gesichert. KSM ist eine vollständig verwaltete, Cloud-basierte Zero-Knowledge-Plattform zur Sicherung von Infrastrukturgeheimnissen wie API-Schlüsseln, Datenbankpasswörtern, SSH-Schlüsseln, Zertifikaten und jeder Art vertraulicher Daten. KSM beseitigt den Wildwuchs an Geheimnissen, indem es hart kodierte Anmeldeinformationen aus Quellcodes, Konfigurationsdateien und CI/CD-Systemen entfernt. Keeper wurde mit der Lösung im 2023 KuppingerCole Leadership Compass for Secrets Management als einer der führenden Anbieter ausgezeichnet. KSM unterstützt Windows, MacOS und Linux. Die Lösung nutzt eine Zero-Knowledge-Sicherheitsarchitektur und ist hochsicher mit ISO 27001- und SOC 2-Konformität sowie FedRAMP- und StateRAMP-Autorisierung sowie zahlreichen anderen Zertifizierungen.

Die Integration von Keeper unterstützt die Bemühungen von Regierung und Industrie, der Open-Source-Community mehr Sicherheit und Transparenz zu bieten. Die einfache Bereitstellung einer kryptografischen digitalen Signatur ermöglicht es Entwicklern, zu überprüfen, ob die verwendete Software genau das ist, was sie zu sein vorgibt, und erhöht die Sicherheit für Entwickler und Endbenutzer gleichermaßen.

Mehr bei KeeperSecurity.com

 


Über Keeper Security

Keeper Security verändert die Art und Weise, wie Menschen und Organisationen auf der ganzen Welt ihre Passwörter, Geheimnisse und vertraulichen Informationen schützen. Die benutzerfreundliche Cybersecurity-Plattform von Keeper basiert auf der Grundlage von Zero-Trust- und Zero-Knowledge-Sicherheit, um jeden Benutzer und jedes Gerät zu schützen.


 

Passende Artikel zum Thema

Wege zur DORA-Compliance

Die DORA-Verordnung (Digital Operational Resilience Act) verlangt von Unternehmen in der Finanzbranche umfassende Standards für Geschäftskontinuität und Datensicherheit für ihre ➡ Weiterlesen

Zunahme von Fog- und Akira-Ransomware

Im September gab SonicWall bekannt, dass CVE-2024-40766 aktiv ausgenutzt wird. Zwar hat Arctic Wolf keine eindeutigen Beweise dafür, dass diese ➡ Weiterlesen

Chefs meinen IT-Security sei ganz „easy“

Jeder vierte Verantwortliche für IT-Security in Unternehmen muss sich den Vorwurf von Vorgesetzten anhören, Cybersicherheit sei doch ganz einfach. Externe ➡ Weiterlesen

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

PKI-Zertifikate sicher verwalten

Mit der Zunahme von Hard- und Software nimmt die Anzahl von Zertifikaten für diese Geräte zu. Ein Cybersicherheitsunternehmen hat jetzt ➡ Weiterlesen

Cloud-Sicherheitsstrategien: eBook gibt Tipps

Cloud-Computing nimmt immer weiter zu. Das ebook erklärt effektive Cloud-Sicherheitsstrategien, inklusive Identitätsmodernisierung, KI-Herausforderungen und Secure-by-Design-Strategien, und bietet Unternehmen umsetzbare Erkenntnisse ➡ Weiterlesen

Mit KI-Technologie Geschäftsanwendungen sicher verwalten

Ein  Anbieter von Cybersicherheitslösungen, launcht die neueste Version seiner Sicherheitsmanagement-Plattform. Mithilfe von moderner KI-Technologie lassen sich Geschäftsanwendungen schnell und präzise ➡ Weiterlesen

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen