Segurança em seus projetos Git

git, github, segurança,

Segurança em seus projetos Git

Camila L. Oliveira Camila L. Oliveira Jul 31, 2022 · 2 mins de leitura
Segurança em seus projetos Git
Compartilhe

Segurança é primordial nas operações de Git. Portanto, baseado numa importante thread do Bruno Pinheiro, resolvi fazer o passo a passo de configurar a chave GPG.

O que é essa chave?

Segundo a documentação do GitHub, essa chave permite mostrar que seu commit foi verificado e autenticado.

“Você pode assinar commits e tags localmente para dar a outras pessoas confiança sobre a origem de uma alteração que você fez. Se um commit ou tag tiver uma assinatura GPG ou S/MIME que seja verificável criptograficamente, o GitHub marcará o commit ou a tag “Verificado” ou “Verificado parcialmente.”

Então, quer dizer que meu projeto pode sofrer problemas se não adicionar essa chave? Sim, imagina que um hacker tenha acesso a sua conta e repositórios e, pior ainda, a empresa onde você trabalha possua brechas de segurança no Git. É chato, mas tem solução: mais fatores de segurança são essenciais para você alavancar seu projeto, sem pesadelos futuros.

  1. Instale o GPG na sua máquina e abra o terminal 1.1. A versão da GPG que instalei é acima de 2.1.17, então ela possui comandos mais simples para a instalação da chave.
  2. Utilize o comando gpg --full-generate-key e selecione a opção RSA.
  3. Mantenha as configurações padrão da GPG, apertando Enter (ou Return para o Mac) três vezes.
  4. Insira seu id de usuário do GitHub válido (neste caso, é o e-mail)
  5. Informe uma frase secreta segura
  6. Com o comando gpg --list-secret-keys --keyid-format=long, veja a lista de chaves secretas e procure pelo id da sua chave GPG. Na linha sec, após 4096/, existe um ID e é ela que você vai copiar para a próxima parte

$ gpg --list-secret-keys --keyid-format=long /Users/hubot/.gnupg/secring.gpg ------------------------------------ sec 4096R/ID_GPG 2016-03-10 [expires: 2017-03-10] uid Hubot ssb 4096R/42B317FD4BA89E7A 2016-03-10

  1. Cole o comando gpg --armor --export ID_GPG, substituindo ID_GPG para o código da sua chave gerada no terminal. Por fim, copie sua chave GPG, que inicia com -----BEGIN PGP PUBLIC KEY BLOCK----- e termina com -----END PGP PUBLIC KEY BLOCK-----
  2. Agora, na sua conta GitHub, vá em Settings / SSH e GPG Key / New GPG Key e cole todo o conteúdo de sua chave.
  3. Salve e informe a sua senha da conta, para finalizar o procedimento.

Agora, sua conta e seus commits ganharam mais proteção e autenticação. Esperamos que tenha gostado dessa dica de segurança.

feature

Inscreva-se em nossa newsletter

E receba as novidades da Studio em seu e-mail.

* requeridos

Camila L. Oliveira
Escrito por Camila L. Oliveira
Tecnóloga em Análise e Desenvolvimento de Sistemas, Bacharel em Administração Pública, Programadora de Computadores e Dispositivos Móveis e Técnica em Informática para Internet. Com experiências nas empresas TCS e BRQ, atuando no desenvolvimento de soluções aos clientes há mais de 2 anos.
Tutorial de Git - Branches
//Insert Firebase