Aujourd’hui, Keeper Security a annoncé un nouveau projet open source permettant aux développeurs de logiciels et aux DevOps de signer facilement et en toute sécurité des commits git avec leur coffre-fort Keeper. Grâce à Keeper Secrets Manager (KSM), les utilisateurs peuvent désormais utiliser les clés Secure Shell (SSH) stockées dans leur Keeper Vault pour signer numériquement les commits afin de confirmer l’authenticité de leur code.
Git est un système de contrôle de version qui suit les modifications apportées à vos projets logiciels, et un commit git est un instantané de ces modifications à un moment précis, accompagné d’un bref message décrivant les modifications. Gardien et développeurs chez Le groupe Migus se sont associés pour créer la solution open source permettant de signer les commits git à l’aide des clés SSH stockées dans le Keeper Vault d’un utilisateur. L’intégration fournit aux développeurs un référentiel sécurisé et crypté pour leurs clés SSH et supprime la pratique consistant à les stocker sur disque, augmentant ainsi la sécurité et rationalisant les flux de travail DevOps.
« La possibilité de stocker des clés SSH et d’autres informations d’identification dans Keeper Vault offre une couche de protection et une facilité d’utilisation qui n’est pas la norme », a déclaré Craig Lurey, CTO et co-fondateur de Keeper Security. « Notre intégration permet aux développeurs de valider le code du logiciel avec une signature numérique cryptographique et une journalisation transparente, simplifiant ainsi ce qui a toujours été un processus complexe. À l’avenir, tout le code sera signé et la chaîne d’approvisionnement logicielle disposera d’une source de vérité qui réduira les attaques de la chaîne d’approvisionnement.
L’augmentation des attaques contre la chaîne d’approvisionnement logicielle met en évidence la nécessité pour les organisations de donner la priorité à la sécurité de la chaîne d’approvisionnement logicielle. La signature des commits git est une bonne pratique recommandée aux développeurs pour confirmer l’authenticité et l’intégrité des versions de code. Lorsque les développeurs signent des engagements avec des clés SSH, ils reçoivent une preuve cryptographique de paternité, ce qui contribue à sécuriser la chaîne d’approvisionnement en garantissant aux utilisateurs que le logiciel provient d’une source légitime et reste inchangé depuis sa signature. Les signatures numériques peuvent également alimenter une nomenclature logicielle (SBOM) pour indiquer si un élément de ligne de la SBOM est fiable, en fonction de l’état de la signature de code.
« Nos clients demandent de l’aide pour se protéger des attaques de la chaîne d’approvisionnement, c’est pourquoi nous travaillions déjà dans ce sens, en utilisant souvent Keeper », a déclaré Adam Migus, fondateur et PDG du groupe Migus. « Nous avons donc pensé à travailler avec eux pour rendre le processus de signature de commit git à la fois plus sûr. et plus facile serait gagnant-gagnant-gagnant. Nos clients peuvent désormais signer des engagements en toute transparence avec des clés qui ne quittent jamais leur coffre-fort. Cependant, la communauté au sens large bénéficie également d’un exemple de signature d’engagement sécurisée avec les avantages d’une gestion centralisée des clés.
Les clés SSH pour la signature des commits sont sécurisées dans KSM, une plate-forme cloud entièrement gérée et sans connaissance pour sécuriser les secrets d’infrastructure tels que les clés API, les mots de passe de base de données, les clés SSH, les certificats et tout type de données confidentielles. KSM élimine la prolifération des secrets en supprimant les informations d’identification codées en dur du code source, des fichiers de configuration et des systèmes CI/CD. La solution entièrement gérée, basée sur le cloud et conviviale pour l’informatique a été nommée leader global sur le marché. Boussole de leadership KuppingerCole 2023 pour la gestion des secrets. KSM est pris en charge sur Windows, MacOS et Linux. Il utilise une architecture de sécurité sans connaissance et est hautement sécurisé avec la conformité ISO 27001 et SOC 2, ainsi que l’autorisation FedRAMP et StateRAMP, parmi de nombreuses autres certifications.
