Sigstore: Prughjettu per migliurà a catena di fornimentu open source

Sigstore: Prughjettu per migliurà a catena di fornimentu open source

Sigstore: Prughjettu per migliurà a catena di fornimentu open source

Oghje, parleremu "Sigstore". Unu di parechji, di i prughjetti liberi è aperti sottu a tutela di u Fundazioni Linux.

"Sigstore" Hè fondamentalmente un prughjettu creatu per furnisce un serviziu publicu senza prufittu di benessere, à migliurà a catena di furnimentu de software open source facilitendu l'adopzione di una firma criptografica di u software sustinuta da e tecnulugie di registrazione di trasparenza.

Automotive Grade Linux

"Sigstore", Ùn hè micca l'unicu Prughjettu Linux Foundation di quale avemu parlatu in occasioni precedenti. Un altru di elli hè statu Automotive Grade Linux, chì descrivimu à l'epica cusì:

"Automotive Grade (Quality) Linux hè un prughjettu di cullaburazione open source chì riunisce produttori di automobili, venditori è cumpagnie di tecnulugia per accelerà u sviluppu è l'adopzione di una pila di software completamente aperta per a vittura di u futuru. Cù Linux à u core, AGL sviluppa una piattaforma aperta da u fondu chì pò servire da standard di fattura di l'industria per permette u rapidu sviluppu di nuove funzionalità è tecnologie." Linux Foundation: Presente à u Consumer Electronics Show 2020

Articulu ligatu:
Linux Foundation: Presente à u Consumer Electronics Show 2020

Articulu ligatu:
Linux ghjunghje in strada grazia à Automotive Grade Linux

Più tardi, in publicazioni future tratteremu altri prughjetti, ma per quelli chì volenu esplorà alcuni di elli da per elli, ponu fà per mezu di u ligame seguente: Prughjetti Linux Foundation.

Sigstore: Un prugettu di a Fundazione Linux

Sigstore: Un prugettu di a Fundazione Linux

Chì ghjè Sigstore?

Secondu ellu stessu U situ ufficiale Sigstore, u listessu hè:

"Un prugettu creatu cù l'obiettivu di furnisce un serviziu publicu senza prufittu di prufittu per migliurà a catena di fornitura di software apertu facilitendu l'adopzione di a firma criptografica di u software, sustenuta da e tecnulugie di registrazione di trasparenza. Inoltre, prova à furmà sviluppatori di software per firmà sicuramente artefatti di software cum'è file di rilasciu, immagini di contenitori, binari, manifesti di fattura di materiali, è ancu di più."

Inoltre, stu prughjettu cerca di assicurà chì:

"I materiali firmati sò conservati in un registru publicu à prova di manipulazione."

Perchè Sigstore hè impurtante?

Stu prugettu, i so strumenti è i so membri, cerca à evità «attacchi à a catena di furnimentu di u software », cume, ciò chì hè accadutu cun SolarWinds è altri ben cunnisciuti in i tempi recenti.

"Microsoft hà dichjaratu chì i piratoghji anu compromessu u software di monitoraggio è gestione Orion di SolarWinds, chì li permettenu di impersonà qualsiasi utilizatore è contu esistenti in l'urganizazione, cumprese conti altamente privilegiati. Si dice chì a Russia abbia sfruttatu strati di a catena di fornimentu per accede à i sistemi di l'agenze di u guvernu."

Articulu ligatu:
U pirate SolarWinds puderia esse assai peghju di u previstu

Esse capitu da «attaccu à a catena di furnimentu di u software » à l'attu chì, Un hacker inserisce codice maliziosu in un software legittimu per sparghjelu in ogni locu.

Dunque, prughjetti liberi / aperti chì sò liberi è faciuli da mette in opera, cume "Sigstore" sò sempre di più necessarii in i nostri ghjorni.

Cume prevene attacchi à a catena di fornitura di software?

Ancu se, in altre occasioni, avemu offertu alcuni cunsiglii utili per a sicurezza di l'infurmazioni, pratichi per tutti è in ogni mumentu o situazione, i seguenti suggerimenti sò direttamente focalizzati nantu à mitigà stu tipu d'attacchi u più pussibule:

Articulu ligatu:
Cunsiglii di Sicurezza Informatica per Tutti Oghje, in ogni locu
  1. Mantene un inventariu di tutti i strumenti di software propriu è di terzu, sia gratuiti sia aperti, è pruprietarii è chjusi, chì sò aduprati.
  2. Esse attenti à e vulnerabilità cunnisciute è future, di tutte l'applicazioni è di i sistemi aduprati, per applicà u più prestu pussibule i patch chì sò ufficialmente dispunibili.
  3. Restate informatu nantu à e violazioni rilevate o attacchi effettuati, à prupietarii di software è di terze parti, per evità sorprese inaspettate in questi modi.
  4. Eliminate in u più cortu tempu pussibule, quelli sistemi, servizii è protokolli chì ponu esse ridundanti (inutili) o obsuleti (inutilizzati).
  5. Pianificate è implementate strategie cumune è esigenze di sicurezza cù i vostri fornitori di software, per minimizà u risicu IT da elli è i vostri prucessi di sicurezza.
  6. Eseguite cuntrolli regulari di codice. È mantene e riviste di sicurezza aggiornate è e procedure di cuntrollu di i cambiamenti, richiesti per ogni cumpunente di u codice creatu o adupratu.
  7. Eseguite test di penetrazione di routine per identificà i periculi potenziali nantu à a vostra piattaforma informatica.
  8. Implementate misure di sicurezza IT cume cuntrolli di accessu è autenticazione à doppiu fattore (2FA) per prutege i prucessi di sviluppu di software.
  9. Executà un lugiziale di sicurezza cù più strati di prutezzione. In particulare contr'à l'intrusioni, virus è rasomwares, cusì cumuni oghje.
  10. Mantene a vostra copia di salvezza o pianu di contingenza à ghjornu, per mantene in modu sicuru i dati vitali di e vostre applicazioni, sistemi è attività (processi), è esse in gradu di recuperà una di queste, in u più breve tempu pussibule.

Più infurmazione nantu à Sigstore

Più infurmazione Sigstore

Infine, i sviluppatori di "Sigstore" spieganu un pocu u funziunamentu di stu prughjettu in u modu seguente:

"Sigstore sfrutta e tecnulugie PKI x509 esistenti è i registri di trasparenza. L'utilizatori generanu coppie di chiavi effimere di breve durata aduprendu l'utili di sigstore client. U serviziu sigstore PKI furnisce dunque un certificatu di firma generatu dopu una cunvenzione di cunnessione OpenID riesciuta. Tutti i certificati sò registrati in un registru di trasparenza di certificati è i materiali di firma di software sò sottumessi à un registru di trasparenza di firma."

Più infurmazione nantu à Sigstore

"Aduprà registri di trasparenza introduce una radice di fiducia in u contu OpenID di l'utente. Cusì pudemu avè garanzie chì l'utente rivendicatu era in cuntrollu di u contu di un fornitore di servizii d'identità à u mumentu di a firma. Una volta chì l'operazione di firma hè compia, e chjave ponu esse scartate, eliminendu ogni necessità di gestione di e chjave supplementari o a necessità di revucazione o rotazione."

Per di più infurmazione annantu à "Sigstore" pudete visità u vostru situ ufficiale nantu à GitHub e so Cumunità (Gruppu) publicu circa Google.

Riassuntu: Varie publicazioni

Resumen

Speremu chì questu "utile pocu postu" circa  «Sigstore», un prughjettu interessante è utile di u Fundazioni Linux, chì hè un serviziu di trasparenza è firma di software bene publicu è senza scopo di lucro, creatu per migliurà a catena di furnimentu software open source; hè di grande interessu è utilità, per tuttu «Comunidad de Software Libre y Código Abierto» è di grande cuntribuzione à a diffusione di u maravigliosu, gigantescu è crescente ecosistema di applicazioni di «GNU/Linux».

Per avà, se ti piace questu publicación, Ùn piantate micca sparte lu cù l'altri, nantu à i vostri siti web preferiti, canali, gruppi o cumunità di rete suciale o sistemi di messageria, preferibbilmente gratuiti, aperti è / o più sicuri cum'è n'ambasciataSignaleMastodon o un altru di Fediverse, preferibile.

È arricurdatevi di visità a nostra home page à «FromLinux» per esplorà più nutizie, è unitevi à u nostru canale ufficiale di Telegramma da DesdeLinuxMentre, per più infurmazione, pudete visità qualsiasi Biblioteca in linea cum'è OpenLibra y JedIT, per accede è leghje libri digitali (PDF) nantu à questu tema o altri.


U cuntenutu di l'articulu aderisce à i nostri principii di etica edituriale. Per signalà un errore cliccate quì.

Sianu the first to comment

Lasciate u vostru cummentariu

U vostru indirizzu email ùn esse publicatu. campi, nicissarii sò marcati cù *

*

*

  1. Responsabile di i dati: Miguel Ángel Gatón
  2. Scopu di i dati: Cuntrolla SPAM, gestione di cumenti.
  3. Legitimazione: U vostru accunsentu
  4. Cumunicazione di i dati: I dati ùn seranu micca cumunicati à terzi, eccettu per obbligazione legale.
  5. Archiviazione di dati: Base di dati ospitata da Occentus Networks (UE)
  6. Diritti: In ogni mumentu pudete limità, recuperà è cancellà e vostre informazioni.