Sigstore: Projekt za poboljšanje lanca opskrbe otvorenog koda

Linux Post Install

7 minuta

Sigstore: Projekt za poboljšanje lanca opskrbe otvorenog koda

Sigstore: Projekt za poboljšanje lanca opskrbe otvorenog koda

Danas ćemo razgovarati o tome "Sigstore". Jedan od mnogih besplatni i otvoreni projekti pod paskom Linux Foundation.

"Sigstore" To je u osnovi projekt stvoren za pružanje neprofitne javne usluge poboljšati lanac opskrbe de softver sa otvorenim kodom olakšavanje usvajanja kriptografskog potpisa softvera potpomognutog tehnologijama registracije transparentnosti.

Automobilski razred Linux

"Sigstore", Nije jedini Projekt Linux Foundation o čemu smo govorili u prethodnim prilikama. Još jedan od njih je bio Automobilski razred Linux, koju u to vrijeme opisujemo na sljedeći način:

"Automotive Grade (Quality) Linux je suradnički projekt otvorenog koda koji okuplja proizvođače automobila, dobavljače i tehnološke kompanije kako bi ubrzao razvoj i usvajanje potpuno otvorenog softverskog snopa za automobil budućnosti. S Linuxom u osnovi, AGL od temelja razvija otvorenu platformu koja može služiti kao faktički industrijski standard koji omogućava brzi razvoj novih karakteristika i tehnologija." Linux Foundation: Prisutan na Consumer Electronics Show 2020

Linux Foundation: Prisutan na Consumer Electronics Show 2020
Vezani članak:
Linux Foundation: Prisutan na Consumer Electronics Show 2020
 Automobilski razred Linux
Vezani članak:
Linux kreće na put zahvaljujući Automotive Grade Linuxu

Kasnije ćemo se u budućim publikacijama obratiti i drugim projektima, ali oni koji žele neke od njih sami istražiti mogu to učiniti putem slijedećeg linka: Projekti Linux Foundation.

Sigstore: Projekt Linux Foundation

Sigstore: Projekt Linux Foundation

Šta je Sigstore?

Prema njemu samom Službena web stranica kompanije Sigstore, isto je:

"Projekt stvoren sa ciljem pružanja neprofitne javne usluge za poboljšanje lanca opskrbe softvera otvorenog koda olakšavanjem usvajanja kriptografskog potpisa softvera, podržanog tehnologijama registracije transparentnosti. Pored toga, pokušava osposobiti programere za sigurno potpisivanje softverskih artefakata kao što su datoteke izdanja, slike spremnika, binarne datoteke, manifesti materijala i još mnogo toga."

Pored toga, ovaj projekt želi osigurati da:

"Potpisani materijali čuvaju se u javnim evidencijama zaštićenim od neovlaštenog pristupa."

Zašto je Sigstore važan?

Ovaj projekt, njegovi alati i članovi nastoje izbjeći «napadi na lanac opskrbe softverom », kao što je ono što se dogodilo sa SolarWinds i drugi dobro poznati u novije vrijeme.

"Microsoft je rekao da su hakeri kompromitirali softver za nadzor i upravljanje kompanije Orion kompanije SolarWinds, omogućavajući im da se lažno predstavljaju kao svi postojeći korisnici i računi u organizaciji, uključujući visoko privilegovane račune. Kaže se da je Rusija eksploatisala slojeve lanca snabdevanja za pristup sistemima vladinih agencija."

Vezani članak:
Hack SolarWindsa mogao bi biti mnogo gori nego što se očekivalo

Neka vas razumiju «napad na lanac opskrbe softverom » na čin kojim, Haker ubacuje zlonamjeran kôd u legitimni softver da bi ga širio svugdje.

Dakle, besplatni / otvoreni projekti koji su besplatni i jednostavni za implementaciju, kao što su "Sigstore" danas su nam sve neophodniji.

Kako spriječiti napade na lanac opskrbe softverom?

Iako smo u drugim prilikama ponudili nekoliko korisnih savjeta o sigurnosti informacija, praktičnih za svakoga i u bilo koje vrijeme ili situaciju, sljedeći savjeti su izravno usredotočeni na ublažavanje ove vrste napada što je više moguće:

Saveti za računarsku bezbednost u bilo kom trenutku
Vezani članak:
Savjeti za računarsku sigurnost za svakoga bilo kad i bilo gdje
  1. Održavajte popis svih sopstvenih i nezavisnih softverskih alata, besplatnih i otvorenih, vlasničkih i zatvorenih koji se koriste.
  2. Budite pažljivi na poznate i buduće ranjivosti svih korištenih aplikacija i sistema kako biste što prije primijenili zakrpe koje su službeno dostupne.
  3. Budite informirani o otkrivenim kršenjima ili izvršenim napadima vlastitih i nezavisnih dobavljača softvera kako biste izbjegli neočekivana iznenađenja na ove načine.
  4. Eliminirajte u najkraćem mogućem roku one sisteme, usluge i protokole koji mogu biti suvišni (nepotrebni) ili zastarjeli (neiskorišteni).
  5. Planirajte i implementirajte zajedničke strategije i sigurnosne zahtjeve s vašim dobavljačima softvera kako biste umanjili IT rizik od njih i vaših vlastitih sigurnosnih procesa.
  6. Pokrenite redovne revizije koda. I održavajte ažurirane sigurnosne preglede i postupke kontrole promjena, potrebne za svaku komponentu koda stvorenog ili korištenog.
  7. Izvršite rutinske testove penetracije da biste identifikovali potencijalne opasnosti na svojoj računarskoj platformi.
  8. Provedite mjere sigurnosti IT-a kao što su kontrole pristupa i dvostruka provjera autentičnosti (2FA) kako biste zaštitili procese razvoja softvera.
  9. Pokrenite sigurnosni softver sa višestrukim slojevima zaštite. Pogotovo protiv upada, virusa i rasomwarea, tako uobičajenih danas.
  10. Redovito ažurirajte svoju rezervnu kopiju ili rezervni plan sigurno održavajte vitalne podatke svojih aplikacija, sistema i aktivnosti (procesa) i budite u mogućnosti oporaviti bilo koji od njih, u najkraćem mogućem roku.

Više o Sigstoreu

Više o sigstore

Konačno, programeri "Sigstore" oni malo objašnjavaju rad ovog projekta na sljedeći način:

"sigstore koristi postojeće x509 PKI tehnologije i registre transparentnosti. Korisnici generiraju kratkotrajne efemerne parove ključeva pomoću alata klijenta sigstore. Usluga sigstore PKI tada će pružiti certifikat za potpisivanje generiran nakon uspješnog odobrenja za OpenID povezivanje. Svi se certifikati bilježe u registar transparentnosti certifikata, a materijali za potpisivanje softvera dostavljaju se u registar transparentnosti potpisa."

Više o Sigstoreu

"Korištenje zapisa o transparentnosti uvodi korijen povjerenja u korisnički OpenID račun. Prema tome, možemo imati garancije da je prijavljeni korisnik imao kontrolu nad računom davatelja usluga identiteta u vrijeme potpisivanja. Nakon što je operacija potpisivanja završena, ključevi se mogu odbaciti, eliminirajući bilo kakvu potrebu za dodatnim upravljanjem ključem ili potrebu za opozivom ili rotacijom."

Za više informacija o "Sigstore" možete posjetiti svoj službena web stranica na GitHub-u i njegovu Javnost zajednice (grupe) o Google.

Sažetak: Razne publikacije

Resumen

Nadamo se ovome "koristan mali post"«Sigstore», zanimljiv i koristan projekt Linux Foundationkoja je a usluga transparentnosti i potpis softvera javno dobro i neprofitna organizacija, stvorena za poboljšati lanac opskrbe softver otvorenog koda; je od velikog interesa i korisnosti, u cjelini «Comunidad de Software Libre y Código Abierto» i od velikog doprinosa širenju divnog, gigantskog i rastućeg ekosistema aplikacija «GNU/Linux».

Za sada, ako vam se ovo svidjelo publicación, Nemoj stati podelite s drugima na vašim omiljenim web lokacijama, kanalima, grupama ili zajednicama društvenih mreža ili sistema za razmjenu poruka, po mogućnosti besplatno, otvoreno i / ili sigurnije kao telegramsignalMastodon ili neko drugi od Fediverse, po mogućnosti.

I ne zaboravite posjetiti našu početnu stranicu na «DesdeLinux» da istražite još vijesti, kao i da se pridružite našem službenom kanalu Telegram od DesdeLinuxZa više informacija možete posjetiti bilo koji Internet biblioteka como OpenLibra y jedit, za pristup i čitanje digitalnih knjiga (PDF-ova) o ovoj temi ili drugima.


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.