Sigstore: Projekt na zlepšení dodavatelského řetězce open source

Linux Post Install

7 minut

Sigstore: Projekt na zlepšení dodavatelského řetězce open source

Sigstore: Projekt na zlepšení dodavatelského řetězce open source

Dnes si povíme „Sigstore“. Jeden z mnoha z bezplatné a otevřené projekty pod vedením Linux Foundation.

„Sigstore“ Je to v zásadě projekt vytvořený za účelem poskytování služby veřejného dobra, neziskové, pro zlepšit dodavatelský řetězec de open source software usnadnění přijetí softwarového kryptografického podpisu podloženého technologiemi registrace transparentnosti.

Automobilový systém Linux

„Sigstore“„Není to jediný Projekt Linux Foundation o kterém jsme hovořili při předchozích příležitostech. Další z nich byl Automobilový systém Linux, které v té době popisujeme následovně:

"Automotive Grade (Quality) Linux je společný projekt s otevřeným zdrojovým kódem, který spojuje výrobce automobilů, prodejců a technologické společnosti za účelem urychlení vývoje a přijetí plně otevřeného softwarového balíčku pro automobil budoucnosti. S jádrem Linuxu vyvíjí AGL od základu otevřenou platformu, která může sloužit jako de facto průmyslový standard umožňující rychlý vývoj nových funkcí a technologií." Linux Foundation: Prezentace na veletrhu spotřební elektroniky 2020

Linux Foundation: Prezentace na veletrhu spotřební elektroniky 2020
Související článek:
Linux Foundation: Prezentace na veletrhu spotřební elektroniky 2020
 Automobilový systém Linux
Související článek:
Linux jde na cestu díky linuxovému systému Automotive Grade

Později se v budoucích publikacích budeme věnovat dalším projektům, ale pro ty, kteří si chtějí některé z nich prozkoumat sami, mohou tak učinit pomocí následujícího odkazu: Projekty Linux Foundation.

Sigstore: Projekt Linux Foundation

Sigstore: Projekt Linux Foundation

Co je Sigstore?

Podle sebe Oficiální webové stránky Sigstoretotéž je:

"Projekt vytvořený s cílem poskytovat neziskovou veřejnou službu s cílem zlepšit dodavatelský řetězec softwaru s otevřeným zdrojovým kódem usnadněním přijetí softwarového kryptografického podpisu podporovaného technologiemi pro registraci transparentnosti. Kromě toho se pokouší vyškolit vývojáře softwaru, aby bezpečně podepisovali softwarové artefakty, jako jsou soubory vydání, obrázky kontejnerů, binární soubory, manifesty kusovníku a další."

Kromě toho se tento projekt snaží zajistit, aby:

"Podepsané materiály jsou uloženy ve veřejném záznamu zabezpečeném proti neoprávněné manipulaci."

Proč je Sigstore důležitý?

Tento projekt, jeho nástroje a členové, se snaží vyhnout «útoky na dodavatelský řetězec softwaru », jako například to, co se stalo SolarWinds a další v poslední době dobře známé.

"Společnost Microsoft uvedla, že hackeři kompromitovali software pro monitorování a správu společnosti Orion společnosti SolarWinds, který jim umožnil vydávat se za jakéhokoli stávajícího uživatele a účet v organizaci, včetně vysoce privilegovaných účtů. Rusko údajně využilo vrstvy dodavatelského řetězce k přístupu do systémů vládních agentur."

Související článek:
Hack systému SolarWinds může být mnohem horší, než se očekávalo

Rozumím «útok na dodavatelský řetězec softwaru » k činu, kterým Hacker vloží škodlivý kód do legitimního softwaru a rozšíří jej všude.

Proto jsou bezplatné / otevřené projekty, které jsou bezplatné a snadno implementovatelné, jako např „Sigstore“ v dnešní době jsou stále více nezbytné.

Jak zabránit útokům na dodavatelský řetězec softwaru?

Ačkoli jsme při jiných příležitostech nabídli několik užitečných rad pro zabezpečení informací, praktických pro všechny a v jakékoli době či situaci, následující tipy jsou přímo zaměřeny na co největší zmírnění tohoto typu útoku:

Tipy pro zabezpečení počítače pro každého kdykoli
Související článek:
Tipy pro zabezpečení počítače pro každého, kdykoli a kdekoli
  1. Udržujte soupis všech vlastních softwarových nástrojů a softwarových nástrojů třetích stran, ať už bezplatných nebo otevřených, a proprietárních a uzavřených, které se používají.
  2. Věnujte pozornost známým i budoucím zranitelnostem všech aplikací a systémů použitých k co nejrychlejšímu použití oprav, které jsou oficiálně k dispozici.
  3. Zůstaňte informováni o zjištěných porušeních nebo provedených útokech, na vlastníky a poskytovatele softwaru třetích stran, abyste se těmito způsoby vyhnuli neočekávaným překvapením.
  4. Odstraňte v co nejkratším čase ty systémy, služby a protokoly, které mohou být nadbytečné (zbytečné) nebo zastaralé (nepoužívané).
  5. Plánujte a implementujte společné strategie a bezpečnostní požadavky s vašimi poskytovateli softwaru, abyste minimalizovali IT riziko z nich a vašich vlastních bezpečnostních procesů.
  6. Spouštějte pravidelné audity kódu. A udržujte aktualizované kontroly zabezpečení a postupy řízení změn, které jsou vyžadovány pro každou vytvořenou nebo použitou část kódu.
  7. Proveďte rutinní penetrační testy k identifikaci potenciálních rizik na vaší výpočetní platformě.
  8. Implementujte bezpečnostní opatření IT, jako jsou kontroly přístupu a dvoufaktorové ověřování (2FA), abyste chránili procesy vývoje softwaru.
  9. Spouštějte bezpečnostní software s více vrstvami ochrany. Zejména proti vniknutí, virům a rasomwarům, v dnešní době tak běžným.
  10. Udržujte svůj záložní nebo pohotovostní plán aktuální bezpečně udržujte důležitá data o vašich aplikacích, systémech a činnostech (procesech) a buďte schopni obnovit kteroukoli z nich v co nejkratším čase.

Více o Sigstore

Více o sigstore

A konečně, vývojáři „Sigstore“ trochu vysvětlují fungování tohoto projektu následujícím způsobem:

"sigstore využívá stávající technologie x509 PKI a registry transparentnosti. Uživatelé generují krátkodobé pomíjivé páry klíčů pomocí klientských nástrojů sigstore. Služba PKI sigstore poté poskytne podpisový certifikát vygenerovaný po úspěšném udělení připojení OpenID. Všechny certifikáty jsou zaznamenány v registru transparentnosti certifikátů a softwarové podpisové materiály jsou odeslány do registru transparentnosti podpisů."

Více o Sigstore

"Použití záznamů o průhlednosti zavádí kořen důvěry v účet OpenID uživatele. Můžeme tedy mít záruky, že nárokovaný uživatel měl v době podpisu kontrolu nad účtem poskytovatele služeb identity. Jakmile je operace podepisování dokončena, klíče lze zahodit, což eliminuje potřebu další správy klíčů nebo nutnost odvolání nebo rotace."

Více informací o „Sigstore“ můžete navštívit své oficiální web na GitHubu a Komunita (skupina) veřejná na Google.

Shrnutí: Různé publikace

Shrnutí

Doufáme v to "užitečný malý příspěvek" na  «Sigstore», zajímavý a užitečný projekt Linux Foundationcož je služba transparentnosti a podpis softwaru veřejné a neziskové, vytvořeno pro zlepšit dodavatelský řetězec open source software; je velmi zajímavý a užitečný pro všechny «Comunidad de Software Libre y Código Abierto» a velkým příspěvkem k šíření nádherného, ​​gigantického a rostoucího ekosystému aplikací «GNU/Linux».

Prozatím, pokud se vám to líbilo publicación, Nepřestávej sdílet to s ostatními, na vašich oblíbených webových stránkách, kanálech, skupinách nebo komunitách sociálních sítí nebo systémů zasílání zpráv, nejlépe zdarma, otevřeně a / nebo bezpečněji jako TelegramSignáluMastodon nebo jiný z Fediverse, nejlépe.

A nezapomeňte navštívit naši domovskou stránku na «DesdeLinux» prozkoumat další novinky a připojit se k našemu oficiálnímu kanálu Telegram z DesdeLinuxZatímco pro více informací můžete navštívit jakékoli Online knihovna jak OpenLibra y jedit, přístup a čtení digitálních knih (PDF) o tomto tématu nebo jiných.


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Odpovědný za údaje: Miguel Ángel Gatón
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.