Инфосистемы Джет: Доклад «Keyless commit sign. Как подписывать коммиты без использования секретного HD

00:21:16

Обнаружено блокирование рекламы на сайте

Для существования нашего сайта необходим показ рекламы. Просим отнестись с пониманием и добавить сайт в список исключений вашей программы для блокировки рекламы (AdBlock и другие).

Инфосистемы Джет 164 ролика

Нет просмотров на сайте 12n.ru

«Инфосистемы Джет» — инновационная ИТ-компания, работающая на рынке более 30 лет. Надежный технологический партнер крупнейших компаний в России, который создает вместе с ними комплексные цифровые проекты.

Доклад «Keyless commit sign. Как подписывать коммиты без использования секретного .

Как подделать коммит от Линуса Торвальдса и остаться незамеченным? В докладе представлен реальный кейс, в котором спикер успешно «подписал» код от имени создателя Linux. Узнайте, зачем нужна подпись коммитов, в чём слабость GPG и X.509 и как работает современный подход без ключей с git-sign, OIDC и прозрачным аудитом через Rekor. Идеально подходит для DevOps, инженеров по безопасности и всех, кто хочет защитить код от подделки и обеспечить невозможность отказа от авторства.

00:01:32 — Почему важна подпись под коммитами: пример подделки от имени Линуса Торвальдса
00:02:30 — Проблема доверия к электронной почте в Git
00:03:20 — GPG: классическая подпись, плюсы и минусы
00:04:24 — X.509 и роль центра сертификации
00:05:17 — Подпись без ключа: как работают git-sign, OIDC и Fulcio
00:06:40 — Роль Rekor: неизменяемый журнал всех подписей
00:08:08 — Проверка подписей в GitLab и отсутствие превентивной защиты
00:10:07 — Сравнение подходов: удобство, безопасность, внедрение
00:17:20 — Рекомендации: когда использовать GPG, X.509 и git-sign

инфосистемы джет, цод

Цифровизация