Инфосистемы Джет: Доклад «Keyless commit sign. Как подписывать коммиты без использования секретного HD

Как подделать коммит от Линуса Торвальдса и остаться незамеченным? В докладе представлен реальный кейс, в котором спикер успешно «подписал» код от имени создателя Linux. Узнайте, зачем нужна подпись коммитов, в чём слабость GPG и X.509 и как работает современный подход без ключей с git-sign, OIDC и прозрачным аудитом через Rekor. Идеально подходит для DevOps, инженеров по безопасности и всех, кто хочет защитить код от подделки и обеспечить невозможность отказа от авторства.

00:01:32 — Почему важна подпись под коммитами: пример подделки от имени Линуса Торвальдса
00:02:30 — Проблема доверия к электронной почте в Git
00:03:20 — GPG: классическая подпись, плюсы и минусы
00:04:24 — X.509 и роль центра сертификации
00:05:17 — Подпись без ключа: как работают git-sign, OIDC и Fulcio
00:06:40 — Роль Rekor: неизменяемый журнал всех подписей
00:08:08 — Проверка подписей в GitLab и отсутствие превентивной защиты
00:10:07 — Сравнение подходов: удобство, безопасность, внедрение
00:17:20 — Рекомендации: когда использовать GPG, X.509 и git-sign