Git est un système de contrôle de version qui suit les changements dans vos projets logiciels, et un commit git est un instantané de ces changements à un moment précis, accompagné d’un bref message décrivant les modifications. Keeper et les développeurs du Migus Group se sont associés pour créer une solution open-source permettant de signer les commits git en utilisant les clés SSH stockées dans le coffre-fort Keeper de l’utilisateur. L’intégration fournit aux développeurs un dépôt sécurisé et chiffré pour leurs clés SSH et élimine la pratique de les stocker sur disque, augmentant ainsi la sécurité et rationalisant les workflow DevOps.

L’augmentation des attaques contre la chaîne d’approvisionnement des logiciels met en évidence la nécessité pour les organisations de donner la priorité à la sécurité de la chaîne d’approvisionnement des logiciels. La signature des commits git est une pratique recommandée aux développeurs pour confirmer l’authenticité et l’intégrité des versions de code. Lorsque les développeurs signent les commits avec des clés SSH, ils obtiennent une preuve cryptographique de la paternité du logiciel, ce qui contribue à sécuriser la chaîne d’approvisionnement en garantissant aux utilisateurs que le logiciel provient d’une source légitime et qu’il n’a pas été modifié depuis sa signature. Les signatures numériques peuvent également être intégrées dans une nomenclature logicielle (SBOM) afin d’indiquer si une ligne de la SBOM est fiable, en fonction de l’état de la signature du code.

Les clés SSH pour la signature des commits sont sécurisées dans KSM, une plateforme entièrement gérée dans le cloud, sans connaissance, pour sécuriser les secrets d’infrastructure tels que les clés API, les mots de passe de base de données, les clés SSH, les certificats et tout type de données confidentielles. KSM élimine la prolifération des secrets en supprimant les identifiants codés en dur dans le code source, les fichiers de configuration et les systèmes CI/CD. Cette solution entièrement gérée, basée sur l’informatique en cloud et conviviale a été désignée comme leader global dans l’édition 2023 du KuppingerCole Leadership Compass for Secrets Management. KSM est compatible avec Windows, MacOS et Linux. Il utilise une architecture de sécurité à zero knowledge et est hautement sécurisé avec la conformité ISO 27001 et SOC 2, ainsi que l’autorisation FedRAMP et StateRAMP, parmi de nombreuses autres certifications.

L’intégration de Keeper contribue à soutenir un effort plus large des gouvernements et de l’industrie pour apporter une sécurité et une visibilité accrues à la communauté open source. La facilité de fournir une signature numérique chiffré permet aux développeurs de valider que le logiciel utilisé est exactement ce qu’il prétend être et améliore la sécurité pour les développeurs et les utilisateurs finaux.