Sigstore: مشروع لتحسين سلسلة التوريد مفتوحة المصدر

Sigstore: مشروع لتحسين سلسلة التوريد مفتوحة المصدر

Sigstore: مشروع لتحسين سلسلة التوريد مفتوحة المصدر

اليوم سنتحدث عنه "Sigstore". واحد من بين العديد من مشاريع حرة ومفتوحة تحت وصاية مؤسسة لينكس.

"Sigstore" إنه في الأساس مشروع تم إنشاؤه لتقديم خدمة للمنفعة العامة ، غير هادفة للربح ، إلى تحسين سلسلة التوريد de البرمجيات مفتوحة المصدر تسهيل اعتماد توقيع التشفير البرمجي المدعوم بتقنيات تسجيل الشفافية.

لينوكس الصف السيارات

"Sigstore"، إنه ليس الوحيد مشروع مؤسسة لينوكس الذي تحدثنا عنه في مناسبات سابقة. كان آخر منهم لينكس السيارات الصفوالتي نصفها آنذاك على النحو التالي:

"تصنيف السيارات (الجودة) Linux هو مشروع تعاوني مفتوح المصدر يجمع بين صانعي السيارات والبائعين وشركات التكنولوجيا لتسريع تطوير واعتماد حزمة برامج مفتوحة بالكامل لسيارة المستقبل. مع وجود Linux في جوهره ، تعمل AGL على تطوير منصة مفتوحة من الألف إلى الياء يمكن أن تكون بمثابة معيار الصناعة الفعلي لتمكين التطوير السريع للميزات والتقنيات الجديدة." مؤسسة Linux: حاضر في معرض الإلكترونيات الاستهلاكية 2020

المادة ذات الصلة:
مؤسسة Linux: حاضر في معرض الإلكترونيات الاستهلاكية 2020

المادة ذات الصلة:
يعمل Linux على الطريق بفضل نظام Automotive Grade Linux

لاحقًا ، في المنشورات المستقبلية ، سنتناول مشاريع أخرى ، ولكن بالنسبة لأولئك الذين يرغبون في استكشاف بعضها بأنفسهم ، يمكنهم القيام بذلك من خلال الرابط التالي: مشاريع مؤسسة لينكس.

Sigstore: مشروع مؤسسة Linux Foundation

Sigstore: مشروع مؤسسة Linux Foundation

ما هو Sigstore؟

وفقا لنفسه الموقع الرسمي Sigstore، نفس الشيء هو:

"مشروع تم إنشاؤه بهدف تقديم خدمة منفعة عامة غير هادفة للربح لتحسين سلسلة توريد البرمجيات مفتوحة المصدر من خلال تسهيل اعتماد التوقيع المشفر للبرنامج ، المدعوم بتقنيات تسجيل الشفافية. بالإضافة إلى ذلك ، فإنه يحاول تدريب مطوري البرامج على التوقيع بأمان على عناصر البرامج مثل ملفات الإصدار ، وصور الحاويات ، والثنائيات ، وبيانات قوائم المواد ، والمزيد."

بالإضافة إلى ذلك ، يسعى هذا المشروع إلى ضمان ما يلي:

"يتم تخزين المواد الموقعة في سجل عام غير قابل للعبث."

لماذا Sigstore مهم؟

يسعى هذا المشروع بأدواته وأعضائه إلى تجنب ذلك «الهجمات على سلسلة توريد البرمجيات »، مثل ، ما حدث مع سولارويندز وآخرين معروفين في الآونة الأخيرة.

"قالت Microsoft إن المتسللين قاموا باختراق برنامج Orion للمراقبة والإدارة الخاص بـ SolarWinds ، مما سمح لهم بانتحال شخصية أي مستخدم وحساب حالي في المؤسسة ، بما في ذلك الحسابات ذات الامتيازات العالية. يقال إن روسيا استغلت طبقات من سلسلة التوريد للوصول إلى أنظمة الوكالات الحكومية."

المادة ذات الصلة:
قد يكون اختراق SolarWinds أسوأ بكثير مما كان متوقعًا

كن مفهوما «الهجوم على سلسلة توريد البرمجيات » إلى الفعل الذي بواسطته ، يقوم المتسلل بإدخال تعليمات برمجية ضارة في برنامج شرعي لنشرها في كل مكان.

ومن ثم ، فإن المشاريع المجانية / المفتوحة التي تكون مجانية وسهلة التنفيذ ، مثل "Sigstore" هم ضروريون بشكل متزايد في يومنا هذا.

كيف تمنع الهجمات على سلسلة توريد البرمجيات؟

على الرغم من أننا قدمنا ​​، في مناسبات أخرى ، بعض النصائح المفيدة حول أمن المعلومات ، والعملية للجميع وفي أي وقت أو موقف ، فإن النصائح التالية تركز بشكل مباشر على التخفيف من هذا النوع من الهجوم قدر الإمكان:

المادة ذات الصلة:
نصائح حول أمان الكمبيوتر للجميع في أي وقت وفي أي مكان
  1. احتفظ بمخزون لجميع أدوات البرامج الخاصة والجهات الخارجية ، سواء كانت مجانية أو مفتوحة ، أو مملوكة أو مغلقة ، يتم استخدامها.
  2. كن منتبهاً إلى نقاط الضعف المعروفة والمستقبلية لجميع التطبيقات والأنظمة المستخدمة ، لتطبيق التصحيحات المتاحة رسميًا في أقرب وقت ممكن.
  3. ابق على اطلاع حول الاختراقات التي تم اكتشافها أو الهجمات التي تم تنفيذها لامتلاك وموفري برامج تابعين لجهات خارجية ، لتجنب المفاجآت غير المتوقعة بهذه الطرق.
  4. تخلص في أقصر وقت ممكن من تلك الأنظمة والخدمات والبروتوكولات التي قد تكون زائدة عن الحاجة (غير ضرورية) أو قديمة (غير مستخدمة).
  5. قم بتخطيط وتنفيذ استراتيجيات مشتركة ومتطلبات أمنية مع مزودي البرامج لديك ، لتقليل مخاطر تكنولوجيا المعلومات من جانبهم ومن عمليات الأمان الخاصة بك.
  6. قم بتشغيل عمليات تدقيق التعليمات البرمجية العادية. واحتفظ بمراجعات الأمان المحدثة وتغيير إجراءات التحكم المطلوبة لكل مكون من مكونات الكود الذي تم إنشاؤه أو استخدامه.
  7. قم بإجراء اختبارات اختراق روتينية لتحديد المخاطر المحتملة على منصة الحوسبة الخاصة بك.
  8. تنفيذ تدابير أمن تكنولوجيا المعلومات مثل ضوابط الوصول والمصادقة المزدوجة (2FA) لحماية عمليات تطوير البرمجيات.
  9. قم بتشغيل برنامج أمان بطبقات حماية متعددة. خاصة ضد الاختراقات والفيروسات و rasomwares ، شائعة جدًا هذه الأيام.
  10. احتفظ بنسخة احتياطية أو خطة الطوارئ محدثة من أجل الحفاظ بأمان على البيانات الحيوية لتطبيقاتك وأنظمتك وأنشطتك (عملياتك) ، وتكون قادرًا على استرداد أي منها ، في أقصر وقت ممكن.

المزيد حول Sigstore

المزيد عن سيجستور

أخيرًا ، مطورو "Sigstore" يشرحون قليلاً تشغيل هذا المشروع بالطريقة التالية:

"سيجستور تعزز تقنيات x509 PKI الحالية وسجلات الشفافية. ينشئ المستخدمون أزواج مفاتيح سريعة الزوال قصيرة العمر باستخدام أدوات العميل sigstore. ستوفر خدمة sigstore PKI بعد ذلك شهادة توقيع تم إنشاؤها بعد منح اتصال OpenID ناجح. يتم تسجيل جميع الشهادات في سجل شفافية الشهادات ويتم إرسال مواد توقيع البرامج إلى سجل شفافية التوقيع."

المزيد حول Sigstore

"يقدم استخدام سجلات الشفافية جذرًا للثقة في حساب OpenID الخاص بالمستخدم. وبالتالي يمكننا الحصول على ضمانات بأن المستخدم المطالب به كان يتحكم في حساب مزود خدمة الهوية وقت التوقيع. بمجرد اكتمال عملية التوقيع ، يمكن التخلص من المفاتيح ، مما يلغي الحاجة إلى إدارة مفاتيح إضافية أو الحاجة إلى الإلغاء أو التدوير."

لمزيد من المعلومات حول "Sigstore" يمكنك زيارة الخاص بك الموقع الرسمي على جيثب و المجتمع (المجموعة) عام في جوجل.

ملخص: منشورات مختلفة

ملخص

نأمل هذا "وظيفة صغيرة مفيدة" في  «Sigstore»، وهو مشروع مثير للاهتمام ومفيد من مؤسسة لينكسوهو خدمة الشفافية وتوقيع البرنامج المنفعة العامة وغير الهادفة للربح ، المنشأة من أجل تحسين سلسلة التوريد برمجيات مفتوحة المصدر ذات فائدة وفائدة كبيرة للجميع «Comunidad de Software Libre y Código Abierto» ومساهمة كبيرة في نشر النظام البيئي الرائع والعملاق والمتنامي لتطبيقات «GNU/Linux».

في الوقت الحالي ، إذا أعجبك هذا publicación، لا تتوقف شاركه مع الآخرين ، على مواقع الويب أو القنوات أو المجموعات أو مجتمعات الشبكات الاجتماعية أو أنظمة المراسلة المفضلة لديك ، ويفضل أن تكون مجانية و / أو مفتوحة و / أو أكثر أمانًا تيليجرامإشارةالمستودون حيوان بائد شبيه بالفيل أو آخر Fediverse، ويفضل.

وتذكر زيارة صفحتنا الرئيسية على «من لينكس» لاستكشاف المزيد من الأخبار ، وكذلك الانضمام إلى قناتنا الرسمية برقية من DesdeLinuxبينما ، لمزيد من المعلومات ، يمكنك زيارة أي مكتبة على الإنترنت كما OpenLibra y جيديت, للوصول إلى الكتب الرقمية وقراءتها (ملفات PDF) حول هذا الموضوع أو غيره.


محتوى المقال يلتزم بمبادئنا أخلاقيات التحرير. للإبلاغ عن خطأ انقر فوق هنا.

كن أول من يعلق

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.