Mobile-Menu

Keeper Security und The Migus Group kooperieren Open-Source-Projekt zum Schutz der Software-Lieferkette

Von Bernhard Lück Lesedauer: 2 min |

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH
Windhoff Group
Keeper Security EMEA Ltd.

Keeper Security und The Migus Group entwickeln eine Open-Source-Lösung zum Signieren von Git-Commits mit SSH-Schlüsseln. Entwickler und DevOps sollen Git-Commits künftig einfach und sicher mit ihrem Keeper Vault signieren können, um die Software-Lieferkette vor Angriffen zu schützen.

Mit dem Keeper Secrets Manager können Softwareentwickler und DevOps Git-Commits mit einem im Keeper Vault gespeicherten SSH-Schlüssel signieren.
Mit dem Keeper Secrets Manager können Softwareentwickler und DevOps Git-Commits mit einem im Keeper Vault gespeicherten SSH-Schlüssel signieren.
(Bild: Keeper Security)

Mit dem Keeper Secrets Manager (KSM) können Anwender künftig SSH-Schlüssel (Secure Shell), die in ihrem Keeper Vault gespeichert sind, verwenden, um Commits digital zu signieren und so die Authentizität ihres Codes zu bestätigen – dies ist das Ziel des gemeinsamen Open-Source-Projekts von Keeper Security und The Migus Group.

Ein Git-Commit ist ein Versionskontrollsystem, das Änderungen in Softwareprojekten verfolgt, sowie ein Snapshot, der Änderungen zu einem bestimmten Zeitpunkt festhält, begleitet von einem kurzen Bericht, der die Anpassungen beschreibt. Die nun angestrebte Open-Source-Lösung soll Entwicklern ein sicheres und verschlüsseltes Repository für ihre SSH-Schlüssel zur Verfügung stellen und die Praxis eliminieren, diese auf der Festplatte zu speichern, was sowohl zu mehr Sicherheit als auch zu besseren DevOps-Workflows führen würde.

Die Zunahme von Angriffen auf die Software-Lieferkette unterstreicht die Notwendigkeit für Unternehmen, die Sicherheit zu priorisieren. Das Signieren von Git-Commits ist eine empfohlene Best Practice für Entwickler, um die Authentizität und Integrität von Code-Releases zu bestätigen. Wenn Entwickler Commits mit SSH-Schlüsseln signieren, erhalten sie einen kryptografischen Nachweis der Urheberschaft, der zur Sicherheit der Lieferkette beiträgt, indem er den Benutzern versichert, dass die Software aus einer legitimen Quelle stammt und seit der Signierung unverändert geblieben ist. Digitale Signaturen können auch in eine Software Bill of Materials (SBOM) einfließen, um anzuzeigen, ob eine Position in der SBOM je nach dem Status der Codesignatur vertrauenswürdig ist.

Keeper Secrets Manager (KSM) ist laut Hersteller eine vollständig verwaltete, cloudbasierte Zero-Knowledge-Plattform zur Sicherung von Infrastrukturgeheimnissen wie API-Schlüsseln, Datenbankpasswörtern, SSH-Schlüsseln, Zertifikaten und jeder Art vertraulicher Daten. KSM könne hart kodierte Anmeldeinformationen aus Quellcodes, Konfigurationsdateien und CI/CD-Systemen entfernen. Die Lösung nutze eine Zero-Knowledge-Sicherheitsarchitektur und sei hochsicher mit ISO-27001- und SOC-2-Konformität, FedRAMP- und StateRAMP-Autorisierung sowie anderen Zertifizierungen.

(ID:49758480)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte