Signierte Git-Commits schützen Software-Lieferketten

Signierte Git-Commits schützen Software-Lieferketten

Beitrag teilen

Mithilfe eines neuen Open-Source-Projekts können Softwareentwickler und DevOPs Git-Commits einfach und sicher digital signieren. Ein Git-Commit ist ein Versionskontrollsystem, das Änderungen in Softwareprojekten verfolgt.

Ein Git-Commit ist ein Snapshot der Änderungen zu einem bestimmten Zeitpunkt festhält, begleitet von einem kurzen Bericht, der die Anpassungen beschreibt. Keeper und die Entwickler von The Migus Group kooperieren, um eine Open-Source-Lösung zum Signieren von Git-Commits mit SSH-Schlüsseln zu entwickeln, die im Keeper Vault eines Benutzers gespeichert sind. Die Integration stellt Entwicklern ein sicheres und verschlüsseltes Repository für ihre SSH-Schlüssel zur Verfügung und eliminiert die Praxis, diese auf der Festplatte zu speichern, was sowohl die Sicherheit erhöht als auch die DevOps-Workflows verbessert.

Signierte Git-Commits bestätigen Urheberschaft

Die Zunahme von Angriffen auf die Software-Lieferkette unterstreicht die Notwendigkeit für Unternehmen, die Sicherheit zu priorisieren. Das Signieren von Git-Commits ist eine empfohlene Best Practice für Entwickler, um die Authentizität und Integrität von Code-Releases zu bestätigen. Wenn Entwickler Commits mit SSH-Schlüsseln signieren, erhalten sie einen kryptografischen Nachweis der Urheberschaft, der zur Sicherheit der Lieferkette beiträgt, indem er den Benutzern versichert, dass die Software aus einer legitimen Quelle stammt und seit der Signierung unverändert geblieben ist. Digitale Signaturen können auch in eine Software Bill of Materials (SBOM) einfließen, um anzuzeigen, ob eine Position in der SBOM je nach dem Status der Codesignatur vertrauenswürdig ist.

Ein komplexer Prozeß wird einfacher

„Die Möglichkeit, SSH-Schlüssel und andere Berechtigungsnachweise in Keeper Vault zu speichern, bietet eine Ebene des Schutzes und der Benutzerfreundlichkeit, die bisher nicht üblich war”, so Craig Lurey, CTO und Mitbegründer von Keeper Security. „Unsere Integration ermöglicht es Entwicklern, den Softwarecode mit einer kryptografischen digitalen Signatur und einer transparenten Protokollierung zu validieren, wodurch ein bisher komplexer Prozess zu einem einfachen wird. In Zukunft wird der gesamte Code signiert sein, und die Software-Lieferkette wird eine einzige, valide Quelle haben, die Angriffe auf die Lieferkette reduziert.”

„Unsere Kunden bitten uns um Hilfe, um sich vor Angriffen auf ihre Lieferkette zu schützen, und wir haben bereits daran gearbeitet, oft unter Verwendung von Keeper”, sagt Adam Migus, Gründer und CEO von The Migus Group. „Daher sind wir überzeugt, dass eine Zusammenarbeit mit Keeper, um den Git-Commit-Signierungsprozess sowohl sicherer als auch einfacher zu machen, eine Win-Win-Win-Situation ist. Unsere Kunden können jetzt nahtlos Commits mit Schlüsseln signieren, die ihren Tresor nie verlassen. Aber auch die breitere Community erhält ein Beispiel für sicheres Commit-Signing mit den Vorteilen einer zentralen Schlüsselverwaltung.”

Cloud-basierte Zero-Knowledge-Plattform sichert Infrastrukturgeheimnisse

Die SSH-Schlüssel für das Signieren von Commits werden in Keeper Secrets Manager KSM gesichert. KSM ist eine vollständig verwaltete, Cloud-basierte Zero-Knowledge-Plattform zur Sicherung von Infrastrukturgeheimnissen wie API-Schlüsseln, Datenbankpasswörtern, SSH-Schlüsseln, Zertifikaten und jeder Art vertraulicher Daten. KSM beseitigt den Wildwuchs an Geheimnissen, indem es hart kodierte Anmeldeinformationen aus Quellcodes, Konfigurationsdateien und CI/CD-Systemen entfernt. Keeper wurde mit der Lösung im 2023 KuppingerCole Leadership Compass for Secrets Management als einer der führenden Anbieter ausgezeichnet. KSM unterstützt Windows, MacOS und Linux. Die Lösung nutzt eine Zero-Knowledge-Sicherheitsarchitektur und ist hochsicher mit ISO 27001- und SOC 2-Konformität sowie FedRAMP- und StateRAMP-Autorisierung sowie zahlreichen anderen Zertifizierungen.

Die Integration von Keeper unterstützt die Bemühungen von Regierung und Industrie, der Open-Source-Community mehr Sicherheit und Transparenz zu bieten. Die einfache Bereitstellung einer kryptografischen digitalen Signatur ermöglicht es Entwicklern, zu überprüfen, ob die verwendete Software genau das ist, was sie zu sein vorgibt, und erhöht die Sicherheit für Entwickler und Endbenutzer gleichermaßen.

Mehr bei KeeperSecurity.com

 


Über Keeper Security

Keeper Security verändert die Art und Weise, wie Menschen und Organisationen auf der ganzen Welt ihre Passwörter, Geheimnisse und vertraulichen Informationen schützen. Die benutzerfreundliche Cybersecurity-Plattform von Keeper basiert auf der Grundlage von Zero-Trust- und Zero-Knowledge-Sicherheit, um jeden Benutzer und jedes Gerät zu schützen.


 

Passende Artikel zum Thema

28. Januar 2024: Europäischer Datenschutztag

Am 28. Januar 2024 ist Europäischer Datenschutztag. In dem Zusammenhang gilt es, das Bewusstsein für Privatsphäre sowie Datenschutz zu schärfen ➡ Weiterlesen

Gesundheitswesen bevorzugtes Ziel für E-Mail-Angriffe

In einer Umfrage war das Gesundheitswesen häufiger als der Durchschnitt von E-Mail-Sicherheitsverletzungen betroffen. Vor allem die Wiederherstellungskosten nach solchen Angriffen ➡ Weiterlesen

Outlook: Kalendereintrag kann Passwort stehlen

Es gibt eine neue Sicherheitslücke in Outlook und drei Möglichkeiten auf NTLM v2-Hash-Passwörter zuzugreifen. Der Zugang kann durch die Kalenderfunktion ➡ Weiterlesen

Cloud-Sicherheit: Hälfte aller Attacken starten in der Cloud

Die Ergebnisse einer großangelegten Studie zeigen, dass die Cloud-Sicherheit deutlichen Verbesserungsbedarf hat. Cloud-Angriffe kosten Unternehmen im Durchschnitt 4,1 Millionen USD. ➡ Weiterlesen

KI: 2024 zentraler Faktor in Unternehmen

Laut einer Studie halten weltweit 82 Prozent der CTOs und CIOs großer Unternehmen KI für entscheidend für die Abwehr von ➡ Weiterlesen

Angriffe auf SSH-Server durch SSH-Tunneling

Ein Pionier im Bereich Cloud Native Security hat eine seit langem bestehende aber kaum bekannte Bedrohung für SSH-Server näher beleuchtet. ➡ Weiterlesen

Cybersicherheitsvorfälle: Fehlendes Budget ist ein Risikofaktor

Laut einer Umfrage liegt in 18 Prozent der Cybersicherheitsvorfälle der Grund dafür an fehlendem Budget für Cybersicherheit. Die Fertigungsbranche ist ➡ Weiterlesen

Daten: Kriminelle Exfiltration verhindern

Die KI-basierte Falcon XDR-Plattform von CrowdStrike macht traditionelle Data Loss Prevention (DLP-)Produkte überflüssig. Sie schützt Endgeräte und verhindert Exfiltration und ➡ Weiterlesen