Gittuf, varnostna plast za repozitorije Git, ki bi jo morali poznati

logotip gittuf

Si Delate z repozitoriji Git in vas skrbi njihova varnost, Naj vam povem, da za to obstaja rešitev, ki vam lahko pomaga rešiti to in še več. Uporabnost katere Recimo, današnjemu imenu je Gittuf ki je projekt, ki obravnava omejitve varnosti in nadzora dostopa v Gitu.

Gittuf se osredotoča na razvoj hierarhičnega sistema za preverjanje vsebine repozitorijev Git. To orodje zagotavlja dodatno raven varnosti in nabor pripomočkov za upravljanje razvijalskih ključev z dostopom do repozitorija, kot tudi nastavitev pravil za dostop do vej, oznak in posameznih datotek.

Kako zdravilo Gittuf deluje?

Gittuf Odpravlja te pomanjkljivosti Gita z implementacijo varnega upravljanja ključev in granularnih mehanizmov za nadzor dostopa, ki se zgledujejo po posodobitvenem ogrodju (TUF), ki se uporablja v projektih, kot so Docker, Fuchsia, AGL (Automotive Grade Linux) in PyPI, za zaščito procesov posodabljanja, poleg tega, da omogoča pridružene zaupanja vredne ključe z uporabo Sigstore identitete in podpira podpisovanje potrditev Git z uporabo OIDC in GPG ter ključev SSH.

Projekt shrani dodatne informacije o preverjanju in artefakte v določenem imenskem prostoru znotraj shrambe objektov Git, kar omogoča združljivost z obstoječimi orodji in storitvami, kot sta GitHub in GitLab. Če ni podpore za Gittuf, repozitorij ostane dostopen, vendar je možnost temeljitega preverjanja njegove celovitosti omejena.

V Gittufu, Razvijalci in spremembe, ki jih naredijo, so identificirani z digitalnimi ključi in podpisi. Ta sistem vam omogoča varno ustvarjanje novih ključev, zanesljivo distribucijo ključev, izvajanje periodične rotacije ključev, preklic ogroženih ključev, upravljanje seznamov dostopa (ACL) in imenskih prostorov v repozitorijih Git.

Za overitev podpisov digitalne potrditve in nalepke, Lastnik repozitorija ustvarja in distribuira javne ključeki so neposredno povezani z repozitorijem. Mehanizmi za preklic in zamenjavo ključev se uporabljajo za preprečitev napadalcem, da bi spodbujali goljufive spremembe po pridobitvi dostopa do ključev za ustvarjanje digitalnih podpisov posameznih razvijalcev. Ključi imajo omejeno življenjsko dobo in zahtevajo stalne posodobitve za zaščito pred podpisovanjem s starimi ključi.

Poleg tega Gittuf vzdržuje referenčni zapis vseh sprememb, znan kot zapis referenčnega stanja (RSL), katerega celovitost in zaščito pred retroaktivnim popačenjem zagotavlja drevesna struktura "Merkle Tree". Vsaka veja drevesa preveri vse osnovne veje in vozlišča zahvaljujoč zgoščeni vrednosti drevesa, kar uporabnikom omogoča preverjanje pravilnosti celotne zgodovine preteklih operacij in stanj. Prav tako ščiti pred "napadi referenčnega stanja" na repozitorije Git in načrtuje dodajanje prilagodljivosti v kriptografske algoritme, integracijo z in-toto za potrdila za sledenje virom SLSA in omejitev dostopa do branja v repozitorijih Git.

Omeniti velja to Gittuf je trenutno v fazi pred alfa, kjer so njegove glavne značilnosti v procesu razvoja in trenutno je glavna prednostna naloga prehod na različico alfa, v kateri bo delo namenjeno izvajanju glavnega oblikovalskega dokumenta, ki vključuje funkcije, kot so pravilniki za Git in imenske prostore datotek, distribucija ključev, beleženje referenčnega stanja in možnost sinhronizacije metapodatkov Gittuf z oddaljenimi repozitoriji.

Načrt Gittuf kot tak določa načrt za uporabo samega orodja Gittuf pri njegovem razvoju in zagotavljanju. Gittufov postopek interne uporabe Izveden bo v več fazah:

  • Faza 1
    V tej začetni fazi bo avtomatizacija uporabljena za ustvarjanje in podpisovanje vnosov RSL v imenu vzdrževalcev Gittufa, potrdilo GitHub pa bo zabeleženo za vsako zahtevo za vleko, združeno v glavno vejo, kar bo zagotovilo revizijsko sled za prihodnje preglede z uporabo Gittufa.
  • Faza 2
    Z izboljšavo podpore za ukaze in uporabnosti orodja Gittuf se bo začel prehod, tako da bodo vsaj nekateri vnosi RSL izdani z lokalnimi ključi, ki jih imajo vzdrževalci.
  • Faza 3
    Ko se Gittuf približuje različici 1, pričakujte lažji prehod na primarno podpisovanje brez povezave. To bo zahtevalo dodatne izboljšave uporabnosti. Upamo, da smo v tej zadnji fazi obravnavali vprašanja aktivne uporabe Gittufa za nadaljevanje s stabilno in delujočo različico.

Če ste zanima več o tem, lahko preverite podrobnosti V naslednji povezavi.


Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.