Signierte Git-Commits schützen Software-Lieferketten

Signierte Git-Commits schützen Software-Lieferketten

Beitrag teilen

Mithilfe eines neuen Open-Source-Projekts können Softwareentwickler und DevOPs Git-Commits einfach und sicher digital signieren. Ein Git-Commit ist ein Versionskontrollsystem, das Änderungen in Softwareprojekten verfolgt.

Ein Git-Commit ist ein Snapshot der Änderungen zu einem bestimmten Zeitpunkt festhält, begleitet von einem kurzen Bericht, der die Anpassungen beschreibt. Keeper und die Entwickler von The Migus Group kooperieren, um eine Open-Source-Lösung zum Signieren von Git-Commits mit SSH-Schlüsseln zu entwickeln, die im Keeper Vault eines Benutzers gespeichert sind. Die Integration stellt Entwicklern ein sicheres und verschlüsseltes Repository für ihre SSH-Schlüssel zur Verfügung und eliminiert die Praxis, diese auf der Festplatte zu speichern, was sowohl die Sicherheit erhöht als auch die DevOps-Workflows verbessert.

Anzeige

Signierte Git-Commits bestätigen Urheberschaft

Die Zunahme von Angriffen auf die Software-Lieferkette unterstreicht die Notwendigkeit für Unternehmen, die Sicherheit zu priorisieren. Das Signieren von Git-Commits ist eine empfohlene Best Practice für Entwickler, um die Authentizität und Integrität von Code-Releases zu bestätigen. Wenn Entwickler Commits mit SSH-Schlüsseln signieren, erhalten sie einen kryptografischen Nachweis der Urheberschaft, der zur Sicherheit der Lieferkette beiträgt, indem er den Benutzern versichert, dass die Software aus einer legitimen Quelle stammt und seit der Signierung unverändert geblieben ist. Digitale Signaturen können auch in eine Software Bill of Materials (SBOM) einfließen, um anzuzeigen, ob eine Position in der SBOM je nach dem Status der Codesignatur vertrauenswürdig ist.

Ein komplexer Prozeß wird einfacher

„Die Möglichkeit, SSH-Schlüssel und andere Berechtigungsnachweise in Keeper Vault zu speichern, bietet eine Ebene des Schutzes und der Benutzerfreundlichkeit, die bisher nicht üblich war“, so Craig Lurey, CTO und Mitbegründer von Keeper Security. „Unsere Integration ermöglicht es Entwicklern, den Softwarecode mit einer kryptografischen digitalen Signatur und einer transparenten Protokollierung zu validieren, wodurch ein bisher komplexer Prozess zu einem einfachen wird. In Zukunft wird der gesamte Code signiert sein, und die Software-Lieferkette wird eine einzige, valide Quelle haben, die Angriffe auf die Lieferkette reduziert.“

„Unsere Kunden bitten uns um Hilfe, um sich vor Angriffen auf ihre Lieferkette zu schützen, und wir haben bereits daran gearbeitet, oft unter Verwendung von Keeper“, sagt Adam Migus, Gründer und CEO von The Migus Group. „Daher sind wir überzeugt, dass eine Zusammenarbeit mit Keeper, um den Git-Commit-Signierungsprozess sowohl sicherer als auch einfacher zu machen, eine Win-Win-Win-Situation ist. Unsere Kunden können jetzt nahtlos Commits mit Schlüsseln signieren, die ihren Tresor nie verlassen. Aber auch die breitere Community erhält ein Beispiel für sicheres Commit-Signing mit den Vorteilen einer zentralen Schlüsselverwaltung.“

Cloud-basierte Zero-Knowledge-Plattform sichert Infrastrukturgeheimnisse

Die SSH-Schlüssel für das Signieren von Commits werden in Keeper Secrets Manager KSM gesichert. KSM ist eine vollständig verwaltete, Cloud-basierte Zero-Knowledge-Plattform zur Sicherung von Infrastrukturgeheimnissen wie API-Schlüsseln, Datenbankpasswörtern, SSH-Schlüsseln, Zertifikaten und jeder Art vertraulicher Daten. KSM beseitigt den Wildwuchs an Geheimnissen, indem es hart kodierte Anmeldeinformationen aus Quellcodes, Konfigurationsdateien und CI/CD-Systemen entfernt. Keeper wurde mit der Lösung im 2023 KuppingerCole Leadership Compass for Secrets Management als einer der führenden Anbieter ausgezeichnet. KSM unterstützt Windows, MacOS und Linux. Die Lösung nutzt eine Zero-Knowledge-Sicherheitsarchitektur und ist hochsicher mit ISO 27001- und SOC 2-Konformität sowie FedRAMP- und StateRAMP-Autorisierung sowie zahlreichen anderen Zertifizierungen.

Die Integration von Keeper unterstützt die Bemühungen von Regierung und Industrie, der Open-Source-Community mehr Sicherheit und Transparenz zu bieten. Die einfache Bereitstellung einer kryptografischen digitalen Signatur ermöglicht es Entwicklern, zu überprüfen, ob die verwendete Software genau das ist, was sie zu sein vorgibt, und erhöht die Sicherheit für Entwickler und Endbenutzer gleichermaßen.

Mehr bei KeeperSecurity.com

 


Über Keeper Security

Keeper Security verändert die Art und Weise, wie Menschen und Organisationen auf der ganzen Welt ihre Passwörter, Geheimnisse und vertraulichen Informationen schützen. Die benutzerfreundliche Cybersecurity-Plattform von Keeper basiert auf der Grundlage von Zero-Trust- und Zero-Knowledge-Sicherheit, um jeden Benutzer und jedes Gerät zu schützen.


 

Passende Artikel zum Thema

KI-Aufbau: Neuer API-Service für Amazon Bedrock

Annapurna, der neue Application Programming Interface (API)-Service von Rubrik lässt sich direkt in Amazon Bedrock integrieren und richtet sich an ➡ Weiterlesen

Cloud SIEM für Echtzeit-Bedrohungserkennung 

Modernes Cloud SIEM soll für Echtzeit-Bedrohungserkennung und ein effizientes Monitoring sorgen. Das Cloud SIEM von Datadog setzt auf moderne Architekturen und ➡ Weiterlesen

Zero-Standing-Privileges: Mythos und Wahrheit unterscheiden

Was kann das Zero-Standing-Privileges (ZSP)-Prinzip und was ist Mythos? ZSP ist eine wichtige Komponente in der Identitätssicherheit. Seine Möglichkeiten werden ➡ Weiterlesen

Deepnude AI Image Generator als Köder

Vor kurzem haben Cybersicherheitsexperten von Silent Push in einem Blogbeitrag eine neue Angriffstaktik der Bedrohungsgruppe FIN7 vorgestellt. Die Cyberkriminellen nutzen ➡ Weiterlesen

Cybersecurity: Zugriff auf umfangreiche Bedrohungsdaten

Die Erweiterung der Arctic Wolf Security Operations Platform Aurora bietet Unternehmen Zugriff auf die Bedrohungsdaten ihres eigenen großen Security Operation ➡ Weiterlesen

DMARC Manager verbessert E-Mail-Sicherheit

Es gibt einen neuen DMARC Manager: Das fortschrittliche Tool adressiert die komplexen Herausforderungen, mit denen Unternehmen bei der Verwaltung von ➡ Weiterlesen

Cyberattacken: Smartphones vermehrt ein Ziel 

Über 16 Milliarden Mobilgeräten werden weltweit in etwa genutzt. Daher haben sich Smartphones und Tablets zu einer der bevorzugten Zielscheiben ➡ Weiterlesen

Fast 80 Prozent mehr Cyber-Angriffe auf deutsche Unternehmen

Aktuelle Zahlen zeigen einen massiven Anstieg an Cyberangriffen. Laut einer Auswertung von Check Point gab es im Zeitraum Q3 2023 ➡ Weiterlesen