Bugün Keeper Security, yazılım geliştiricilerin ve DevOps’un Keeper kasalarıyla git taahhütlerini kolay ve güvenli bir şekilde imzalamalarına yönelik yeni bir açık kaynak projesini duyurdu. Kullanıcılar artık Keeper Secrets Manager (KSM) aracılığıyla, kodlarının gerçekliğini doğrulamak amacıyla taahhütleri dijital olarak imzalamak için Keeper Vault’larında saklanan Secure Shell (SSH) anahtarlarını kullanabilirler.
Git, yazılım projelerinizdeki değişiklikleri izleyen bir sürüm kontrol sistemidir ve git commit, bu değişikliklerin belirli bir zamandaki anlık görüntüsüdür ve değişiklikleri açıklayan kısa bir mesajla birlikte sunulur. Kaleci ve geliştiriciler Migus Grubu Bir kullanıcının Keeper Vault’unda saklanan SSH anahtarlarını kullanarak git taahhütlerini imzalamak için açık kaynaklı bir çözüm oluşturmak üzere bir araya geldi. Entegrasyon, geliştiricilere SSH anahtarları için güvenli ve şifreli bir depo sağlar ve bunları diskte saklama uygulamasını ortadan kaldırarak hem güvenliği artırır hem de DevOps iş akışlarını kolaylaştırır.
Keeper Security’nin CTO’su ve Kurucu Ortağı Craig Lurey, “SSH anahtarlarını ve diğer kimlik bilgilerini Keeper Vault’ta saklama yeteneği, standart olmayan bir koruma katmanı ve kullanım kolaylığı sunuyor” dedi. “Entegrasyonumuz, geliştiricilerin yazılım kodunu kriptografik bir dijital imza ve şeffaf günlük kaydıyla doğrulamasına olanak tanıyarak, tarihsel olarak karmaşık olan bir süreci basit bir süreç haline getiriyor. Gelecekte tüm kodlar imzalanacak ve yazılım tedarik zinciri, tedarik zinciri saldırılarını azaltacak tek bir doğruluk kaynağına sahip olacak.”
Yazılım tedarik zinciri saldırılarındaki artış, kuruluşların yazılım tedarik zinciri çevresinde güvenliğe öncelik verme ihtiyacını vurguluyor. Git taahhütlerinin imzalanması, geliştiricilerin kod sürümlerinin orijinalliğini ve bütünlüğünü doğrulaması için önerilen en iyi uygulamadır. Geliştiriciler taahhütleri SSH anahtarlarıyla imzaladıkça onlara kriptografik yazarlık kanıtı sunulur; bu, kullanıcılara yazılımın meşru bir kaynaktan geldiğini ve imzalanmasından bu yana değişmeden kaldığını garanti ederek tedarik zincirinin güvenliğini sağlamaya yardımcı olur. Dijital imzalar ayrıca, kod imza durumuna bağlı olarak SBOM’daki bir satır öğesinin güvenilir olup olmadığını belirtmek için Yazılım Malzeme Listesine (SBOM) de gönderilebilir.
Migus Group’un Kurucusu ve CEO’su Adam Migus, “Müşterilerimiz kendilerini tedarik zinciri saldırılarından korumak için yardım istiyorlar, bu yüzden biz de genellikle Keeper’ı kullanarak bunu yapmaya zaten çalışıyorduk” dedi. “Bu nedenle git taahhüt imzalama sürecini daha güvenli hale getirmek için onlarla çalışmayı düşündük. Ve kazan-kazan-kazan daha kolay olurdu. Müşterilerimiz artık kasalarından asla çıkmayan anahtarlarla taahhütleri sorunsuz bir şekilde imzalayabilir. Bununla birlikte, daha geniş topluluk aynı zamanda merkezi anahtar yönetiminin avantajlarıyla güvenli taahhüt imzalamanın bir örneğini de kazanıyor.”
İmzalama taahhütlerine ilişkin SSH anahtarları, API anahtarları, veritabanı parolaları, SSH anahtarları, sertifikalar ve her türlü gizli veri gibi altyapı sırlarının güvenliğini sağlamaya yönelik, tam olarak yönetilen bulut tabanlı, sıfır bilgi platformu olan KSM’de güvence altına alınır. KSM, sabit kodlu kimlik bilgilerini kaynak kodundan, yapılandırma dosyalarından ve CI/CD sistemlerinden kaldırarak sırların yayılmasını ortadan kaldırır. Tam olarak yönetilen, bulut tabanlı ve BT dostu çözüm, genel olarak lider olarak adlandırıldı 2023 KuppingerCole Sırların Yönetimi için Liderlik Pusulası. KSM, Windows, MacOS ve Linux’ta desteklenir. Sıfır bilgili bir güvenlik mimarisi kullanır ve diğer birçok sertifikanın yanı sıra ISO 27001 ve SOC 2 uyumluluğunun yanı sıra FedRAMP ve StateRAMP Yetkilendirmesi ile de oldukça güvenlidir.