Neue Open-Source-Lösung von Keeper Security
Keeper Security bietet eine Open-Source-Lösung zum sicheren und einfachen Signieren der Git-Commits von DevOps und Software-Entwicklern mit ihrem jeweiligen Keeper Vault. Der “Keeper Secrets Manager” (KSM) kann in einen Keeper Vault gespeicherten SSH-Schlüssel zum digitalen Signieren von Commits und damit zum Bestätigen der Code-Authentizität verwenden. Bei einem Git-Commit handelt es sich um ein Versionskontrollsystem zum Verfolgen von Änderungen, die in Software-Projekten vorgenommen werden.
Ein Git-Commit ist ein Snapshot der Änderungen zu einem bestimmten Zeitpunkt festhält, begleitet von einem kurzen Bericht, der die Anpassungen beschreibt. Keeper und die Entwickler von The Migus Group kooperieren, um eine Open-Source-Lösung zum Signieren von Git-Commits mit SSH-Schlüsseln zu entwickeln, die im Keeper Vault eines Benutzers gespeichert sind. Die Integration stellt Entwicklern ein sicheres und verschlüsseltes Repository für ihre SSH-Schlüssel zur Verfügung und eliminiert die Praxis, diese auf der Festplatte zu speichern, was sowohl die Sicherheit erhöht als auch die DevOps-Workflows verbessert.
Die Zunahme von Angriffen auf die Software-Lieferkette unterstreicht die Notwendigkeit für Unternehmen, die Sicherheit zu priorisieren. Das Signieren von Git-Commits ist eine empfohlene Best Practice für Entwickler, um die Authentizität und Integrität von Code-Releases zu bestätigen. Wenn Entwickler Commits mit SSH-Schlüsseln signieren, erhalten sie einen kryptografischen Nachweis der Urheberschaft, der zur Sicherheit der Lieferkette beiträgt, indem er den Benutzern versichert, dass die Software aus einer legitimen Quelle stammt und seit der Signierung unverändert geblieben ist. Digitale Signaturen können auch in eine Software Bill of Materials (SBOM) einfließen, um anzuzeigen, ob eine Position in der SBOM je nach dem Status der Codesignatur vertrauenswürdig ist.
„Die Möglichkeit, SSH-Schlüssel und andere Berechtigungsnachweise in Keeper Vault zu speichern, bietet eine Ebene des Schutzes und der Benutzerfreundlichkeit, die bisher nicht üblich war”, so Craig Lurey, CTO und Mitbegründer von Keeper Security. „Unsere Integration ermöglicht es Entwicklern, den Softwarecode mit einer kryptografischen digitalen Signatur und einer transparenten Protokollierung zu validieren, wodurch ein bisher komplexer Prozess zu einem einfachen wird. In Zukunft wird der gesamte Code signiert sein, und die Software-Lieferkette wird eine einzige, valide Quelle haben, die Angriffe auf die Lieferkette reduziert.”
„Unsere Kunden bitten uns um Hilfe, um sich vor Angriffen auf ihre Lieferkette zu schützen, und wir haben bereits daran gearbeitet, oft unter Verwendung von Keeper”, sagt Adam Migus, Gründer und CEO von The Migus Group. „Daher sind wir überzeugt, dass eine Zusammenarbeit mit Keeper, um den Git-Commit-Signierungsprozess sowohl sicherer als auch einfacher zu machen, eine Win-Win-Win-Situation ist. Unsere Kunden können jetzt nahtlos Commits mit Schlüsseln signieren, die ihren Tresor nie verlassen. Aber auch die breitere Community erhält ein Beispiel für sicheres Commit-Signing mit den Vorteilen einer zentralen Schlüsselverwaltung.”
Die SSH-Schlüssel für das Signieren von Commits werden in Keeper Secrets Manager KSM gesichert. KSM ist eine vollständig verwaltete, Cloud-basierte Zero-Knowledge-Plattform zur Sicherung von Infrastrukturgeheimnissen wie API-Schlüsseln, Datenbankpasswörtern, SSH-Schlüsseln, Zertifikaten und jeder Art vertraulicher Daten. KSM beseitigt den Wildwuchs an Geheimnissen, indem es hart kodierte Anmeldeinformationen aus Quellcodes, Konfigurationsdateien und CI/CD-Systemen entfernt. Keeper wurde mit der Lösung im 2023 KuppingerCole Leadership Compass for Secrets Management als einer der führenden Anbieter ausgezeichnet. KSM unterstützt Windows, macOS und Linux. Die Lösung nutzt eine Zero-Knowledge-Sicherheitsarchitektur und ist hochsicher mit ISO 27001- und SOC 2-Konformität sowie FedRAMP- und StateRAMP-Autorisierung sowie zahlreichen anderen Zertifizierungen.
Die Integration von Keeper unterstützt die Bemühungen von Regierung und Industrie, der Open-Source-Community mehr Sicherheit und Transparenz zu bieten. Die einfache Bereitstellung einer kryptografischen digitalen Signatur ermöglicht es Entwicklern, zu überprüfen, ob die verwendete Software genau das ist, was sie zu sein vorgibt, und erhöht die Sicherheit für Entwickler und Endbenutzer gleichermaßen.
Weitere Informationen: Git – Sign Commits with SSH – Keeper Secrets Manager