Gittuf, bezpečnostná vrstva pre úložiská Git, ktorú by ste mali poznať

logo gittuf

Si Pracujete s úložiskami Git a máte obavy o ich bezpečnosť, Dovoľte mi povedať, že na to existuje riešenie, ktoré vám môže pomôcť vyriešiť toto a ďalšie. Užitočnosť ktorej Povedzme si, že dnešný názov je Gittuf čo je projekt, ktorý rieši bezpečnostné a prístupové obmedzenia v Git.

Gittuf je zameraný na vývoj hierarchického systému overovania obsahu úložísk Git. Tento nástroj poskytuje ďalšiu úroveň zabezpečenia a sadu nástrojov na správu vývojárskych kľúčov s prístupom k úložisku, ako aj nastavenie pravidiel pre prístup k vetvám, značkám a jednotlivým súborom.

Ako Gittuf účinkuje?

Gittuf Rieši tieto nedostatky Gitu implementáciou bezpečnej správy kľúčov a mechanizmov granulárnej kontroly prístupu, inšpirovaných aktualizačným rámcom (TUF), ktorý sa používa v projektoch ako Docker, Fuchsia, AGL (Automotive Grade Linux) a PyPI na ochranu procesov aktualizácie, okrem toho, že umožňuje priraďovať dôveryhodné kľúče pomocou Sigstore. identity a podporuje podpisovanie Git commitov pomocou OIDC a GPG, ako aj kľúčov SSH.

Projekt ukladá dodatočné overovacie informácie a artefakty v špecifickom mennom priestore v rámci úložiska objektov Git, čo umožňuje kompatibilitu s existujúcimi nástrojmi a službami, ako sú GitHub a GitLab. Bez podpory Gittuf zostáva úložisko prístupné, ale schopnosť dôkladne overiť jeho integritu je obmedzená.

V Gittuf, Vývojári a zmeny, ktoré vykonajú, sa identifikujú pomocou digitálnych kľúčov a podpisov. Tento systém vám umožňuje bezpečne generovať nové kľúče, spoľahlivo distribuovať kľúče, vykonávať periodické striedanie kľúčov, odvolávať kompromitované kľúče, spravovať zoznamy prístupových práv (ACL) a menné priestory v repozitároch Git.

Na overenie podpisov digitálne potvrdenia a štítky, Vlastník úložiska generuje a distribuuje verejné kľúčektoré sú priamo spojené s úložiskom. Mechanizmy na zrušenie a nahradenie kľúčov sa používajú na zabránenie útočníkom propagovať podvodné zmeny po získaní prístupu ku kľúčom na generovanie digitálnych podpisov jednotlivých vývojárov. Kľúče majú obmedzenú životnosť a vyžadujú neustále aktualizácie na ochranu pred podpisom pomocou starých kľúčov.

Ďalej Gittuf vedie referenčný záznam o všetkých zmenách, známy ako referenčný stavový záznam (RSL), ktorých integritu a ochranu proti spätnému skresleniu zaručuje stromová štruktúra "Merkle Tree". Každá vetva stromu overuje všetky podložené vetvy a uzly vďaka stromovému hashu, čo umožňuje používateľom overiť správnosť celej histórie minulých operácií a stavov. Chráni tiež pred „útokami referenčného stavu“ na úložiská Git a plánuje pridať flexibilitu v kryptografických algoritmoch, integráciu s in-toto pre certifikácie sledovania zdrojov SLSA a obmedzenie prístupu na čítanie v úložiskách Git.

Za zmienku stojí to Gittuf je momentálne v pre-alfa fáze, kde sú jeho hlavné funkcie v procese vývoja a v súčasnosti je hlavnou prioritou prechod na alfa verziu, v ktorej bude práca na implementácii hlavného dizajnového dokumentu, ktorý obsahuje funkcie, ako sú politiky pre Git a menné priestory súborov, distribúcia kľúčov, protokolovanie referenčného stavu a možnosť synchronizovať metadáta Gittuf so vzdialenými úložiskami.

Plán Gittuf ako taký stanovuje plán použitia samotného nástroja Gittuf pri jeho vývoji a zabezpečení. Proces interného testovania spoločnosti Gittuf Bude prebiehať v niekoľkých fázach:

  • Fáza 1
    V tejto počiatočnej fáze sa na vytváranie a podpisovanie záznamov RSL v mene správcov Gittufu použije automatizácia a certifikácia GitHub sa zaznamená pre každú požiadavku na stiahnutie zlúčenú do hlavnej vetvy, ktorá poskytuje auditovateľný záznam pre budúce kontroly pomocou Gittufu.
  • Fáza 2
    So zlepšením podpory príkazov a použiteľnosti nástroja Gittuf sa prechod začne tak, že aspoň niektoré položky RSL budú vydané lokálnymi kľúčmi, ktoré majú správcovia.
  • Fáza 3
    Keď sa Gittuf blíži k verzii 1, očakávajte plynulejší prechod na primárne offline podpisovanie. To si bude vyžadovať ďalšie vylepšenia použiteľnosti. Dúfame, že v tejto záverečnej fáze sme vyriešili problémy aktívneho používania Gittuf, aby sme mohli pokračovať so stabilnou a funkčnou verziou.

Ak ste záujem dozvedieť sa o tom viac, môžete skontrolovať podrobnosti Na nasledujúcom odkaze.


Zanechajte svoj komentár

Vaša e-mailová adresa nebude zverejnená. Povinné položky sú označené *

*

*

  1. Zodpovedný za údaje: Miguel Ángel Gatón
  2. Účel údajov: Kontrolný SPAM, správa komentárov.
  3. Legitimácia: Váš súhlas
  4. Oznamovanie údajov: Údaje nebudú poskytnuté tretím stranám, iba ak to vyplýva zo zákona.
  5. Ukladanie dát: Databáza hostená spoločnosťou Occentus Networks (EU)
  6. Práva: Svoje údaje môžete kedykoľvek obmedziť, obnoviť a vymazať.