KeeperSecurity启动了一个新的开源项目,希望该项目有助于防范供应链攻击。现在可以使用SecureShell(SSH)密钥对git提交进行签名,以验证软件是否为正版。Git提交用于跟踪代码更改,并简要描述当前的更改。
这家密码管理器和秘密管理公司与TheMigusGroup合作,提供这种开源方法,使用存储在用户KeeperVault中的SSH密钥对提交进行签名。
Git提交被认为对于帮助保护软件供应链很重要,建议所有开发人员对其进行签名以表明其软件的完整性。
通过为开发人员提供一种使用SSH密钥进行签名的方法,这些密钥通过加密存储在云中,这意味着他们不再需要将它们存储在磁盘上,Keeper表示,“[提高]安全性并[简化]DevOps工作流程。”
它还表示,使用SSH密钥签署git提交提供了“作者身份的加密证明”,并让其他人知道代码没有被篡改,从而有助于保护供应链。
数字签名也可以用作软件物料清单(SBOM)的一部分,以表明SBOM中的项目是可信的。
SSH密钥存储在KeeperSecretsManager(KSM)中,该管理器基于云并使用零知识架构。它还符合ISO27001和SOC2,以及FedRAMP和StateRAMP授权等。
KeeperSecurity首席技术官CraigLurey认为,这一新实施的独特之处在于其“保护层和易用性”,并补充说,“我们的集成使开发人员能够通过加密数字签名和透明日志记录来验证软件代码,从而使从历史上看,这是一个复杂的过程变成了一个简单的过程。”
TheMigusGroup首席执行官AdamMigus还表示:“我们认为与[KeeperSecurity]合作,使git提交签名过程变得更安全、更轻松,将是双赢的结果。我们的客户现在可以无缝地签署提交永远不会离开金库的钥匙。”