Sigstore: Проект за подобряване на веригата за доставки с отворен код
Днес ще говорим за "Sigstore". Един от многото, на безплатни и отворени проекти под ръководството на Linux Foundation.
"Sigstore" По принцип това е проект, създаден за предоставяне на обществена услуга с нестопанска цел подобряване на веригата за доставки de софтуер с отворен код улесняване приемането на софтуерен криптографски подпис, подкрепен от технологии за регистрация на прозрачност.
"Sigstore", Не е единственият Проект на Linux Foundation за които говорихме предишни поводи. Друг от тях е бил Автомобилен клас Linux, които описваме по това време, както следва:
"Automotive Grade (Quality) Linux е съвместен проект с отворен код, който обединява автомобилни производители, доставчици и технологични компании, за да ускори разработването и приемането на напълно отворен софтуерен стек за автомобила на бъдещето. С Linux в основата си, AGL разработва отворена платформа от самото начало, която може да служи като фактически индустриален стандарт за бързо развитие на нови функции и технологии." Фондация Linux: присъства на Consumer Electronics Show 2020
По-късно, в бъдещи публикации, ще обърнем внимание на други проекти, но за тези, които желаят да проучат някои от тях сами, те могат да го направят чрез следната връзка: Проекти на Linux Foundation.
Sigstore: Проект на Linux Foundation
Какво представлява Sigstore?
Според него самия Официален уебсайт на Sigstore, същото е:
"Проект, създаден с цел предоставяне на обществена добра услуга с нестопанска цел за подобряване на веригата за доставки на софтуер с отворен код чрез улесняване на приемането на криптографския подпис на софтуера, подкрепен от технологии за регистрация на прозрачност. Освен това той се опитва да обучи разработчиците на софтуер за сигурно подписване на софтуерни артефакти като файлове за освобождаване, изображения на контейнери, двоични файлове, манифести на сметки и др."
В допълнение, този проект се стреми да гарантира, че:
"Подписаните материали се съхраняват в публично досие, защитено от фалшифициране."
Защо Sigstore е важен?
Този проект, неговите инструменти и членове, се стреми да избегне «атаки върху веригата за доставки на софтуер », като например какво се е случило с SolarWinds и други, добре известни в последно време.
"Microsoft заяви, че хакерите са компрометирали софтуера за наблюдение и управление на Orion на SolarWinds, позволявайки им да се представят за всеки съществуващ потребител и акаунт в организацията, включително силно привилегировани акаунти. Твърди се, че Русия е използвала слоеве от веригата за доставки за достъп до системите на правителствените агенции."
Бъдете разбрани от «атака върху веригата за доставки на софтуер » към акта, с който, Хакер вмъква злонамерен код в легитимен софтуер, за да го разпространи навсякъде.
Следователно безплатни / отворени проекти, които са безплатни и лесни за изпълнение, като "Sigstore" те са все по-необходими в наши дни.
Как да предотвратим атаки върху веригата за доставки на софтуер?
Въпреки че при други случаи сме предлагали полезни съвети за информационна сигурност, практични за всички и по всяко време или ситуации, следните съвети са насочени директно към смекчаване на този тип атака, доколкото е възможно:
- Поддържайте опис на всички собствени и независими софтуерни инструменти, както безплатни, така и отворени, както и патентовани и затворени, които се използват.
- Внимавайте с известни и бъдещи уязвимости на всички използвани приложения и системи, за да приложите възможно най-скоро корекциите, които са официално достъпни.
- Бъдете информирани за открити нарушения или извършени атаки на собствени и трети страни доставчици на софтуер, за да избегнете неочаквани изненади по тези начини
- Елиминирайте във възможно най-кратко време онези системи, услуги и протоколи, които могат да бъдат излишни (ненужни) или остарели (неизползвани).
- Планирайте и внедрете съвместни стратегии и изисквания за сигурност с вашите доставчици на софтуер, за да сведете до минимум ИТ риска от тях и вашите собствени процеси за сигурност.
- Изпълнявайте редовни одити на кода. И поддържайте актуализирани проверки на сигурността и процедури за контрол на промените, необходими за всеки компонент на кода, създаден или използван.
- Извършвайте рутинни тестове за проникване, за да идентифицирате потенциални опасности на вашата компютърна платформа.
- Приложете мерки за ИТ сигурност, като контрол на достъпа и двойно факторно удостоверяване (2FA), за да защитите процесите на разработване на софтуер.
- Стартирайте софтуер за защита с множество слоеве защита. Особено срещу прониквания, вируси и rasomwares, толкова често срещани в наши дни.
- Поддържайте своя резервен план или резервен план актуален, за да го безопасно поддържайте жизненоважните данни на вашите приложения, системи и дейности (процеси) и можете да възстановите всяка от тях, в най-кратки срокове.
Повече за sigstore
И накрая, разработчиците на "Sigstore" те обясняват малко работата на този проект по следния начин:
"sigstore използва съществуващите x509 PKI технологии и регистри за прозрачност. Потребителите генерират краткотрайни ефемерни двойки ключове, използвайки инструментите на клиента за sigstore. След това услугата sigstore PKI ще предостави сертификат за подписване, генериран след успешно предоставяне на OpenID свързване. Всички сертификати се записват в регистър за прозрачност на сертификати, а материалите за подписване на софтуер се подават в регистър за прозрачност на подписа."
"Използването на записи за прозрачност въвежда корен на доверие в акаунта на OpenID на потребителя. По този начин можем да имаме гаранции, че заявеният потребител е контролирал акаунта на доставчик на услуги за самоличност по време на подписването. След като операцията по подписване приключи, ключовете могат да бъдат изхвърлени, елиминирайки всякаква необходимост от допълнително управление на ключове или необходимост от отмяна или ротация."
За повече информация за "Sigstore" можете да посетите вашия официален уебсайт на GitHub и Общност (група) публично за Google.
Обобщение
Надяваме се това "полезен малък пост" за «Sigstore», интересен и полезен проект на Linux Foundationкоето е а услуга за прозрачност и подпис на софтуера обществено благо и с нестопанска цел, създадена за подобряване на веригата за доставки софтуер с отворен код; представлява голям интерес и полезност, като цяло «Comunidad de Software Libre y Código Abierto» и от голям принос за разпространението на прекрасната, гигантска и нарастваща екосистема от приложения на «GNU/Linux».
Засега, ако това ви е харесало publicación, Не спирай споделете го с други хора, на любимите ви уебсайтове, канали, групи или общности от социални мрежи или системи за съобщения, за предпочитане безплатни, отворени и / или по-сигурни като Telegram, Сигнал, Мастодон или друг от Fediverse, за предпочитане.
И не забравяйте да посетите нашата начална страница на адрес «DesdeLinux» за да изследвате още новини, както и да се присъедините към официалния ни канал на Телеграма на DesdeLinux. Докато за повече информация можете да посетите всеки Онлайн библиотека като OpenLibra y едит, за достъп и четене на цифрови книги (PDF файлове) по тази тема или други.