Sigstore: Projekt til forbedring af open source forsyningskæden

Linux Post Install

7 minutter

Sigstore: Projekt til forbedring af open source forsyningskæden

Sigstore: Projekt til forbedring af open source forsyningskæden

I dag vil vi tale om "Sigstore". En af mange, af gratis og åbne projekter under vejledning af Linux Foundation.

"Sigstore" Det er dybest set et projekt, der er oprettet for at levere en nonprofit offentlig god service til forbedre forsyningskæden de open source software lette vedtagelsen af ​​softwarekryptografisk signatur understøttet af transparensregistreringsteknologier.

Automotive klasse Linux

"Sigstore", Det er ikke den eneste Linux Foundation-projekt som vi har talt om ved tidligere lejligheder. En anden af ​​dem har været Automotive Grade Linux, som vi på det tidspunkt beskriver som følger:

"Automotive Grade (Quality) Linux er et open source-samarbejdsprojekt, der samler bilproducenter, leverandører og teknologivirksomheder for at fremskynde udviklingen og vedtagelsen af ​​en helt åben softwarestak til fremtidens bil. Med Linux i centrum udvikler AGL en åben platform fra bunden, der kan tjene som de facto industristandard for at muliggøre en hurtig udvikling af nye funktioner og teknologier." Linux Foundation: Til stede på Consumer Electronics Show 2020

Linux Foundation: Til stede på Consumer Electronics Show 2020
relateret artikel:
Linux Foundation: Til stede på Consumer Electronics Show 2020
 Automotive klasse Linux
relateret artikel:
Linux rammer vejen takket være Automotive Grade Linux

Senere i fremtidige publikationer vil vi adressere andre projekter, men for dem, der ønsker at udforske nogle af dem selv, kan de gøre det via følgende link: Linux Foundation-projekter.

Sigstore: Et projekt fra Linux Foundation

Sigstore: Et projekt fra Linux Foundation

Hvad er Sigstore?

Ifølge ham selv Sigstores officielle hjemmeside, det samme er:

"Et projekt oprettet med det formål at tilbyde en non-profit public good service til forbedring af open source softwareforsyningskæden ved at lette vedtagelsen af ​​softwarekryptografisk signatur understøttet af transparensregistreringsteknologier. Derudover forsøger den at træne softwareudviklere til at underskrive softwareartifakter, som f.eks. Frigivelsesfiler, containerbilleder, binære filer, manifester med mere og mere."

Derudover søger dette projekt at sikre, at:

"De underskrevne materialer opbevares i en manipulationssikker offentlig optegnelse."

Hvorfor er Sigstore vigtig?

Dette projekt, dets værktøjer og medlemmer, søger at undgå «angreb på softwareforsyningskæden », såsom hvad der skete med SolarWinds og andre velkendte i nyere tid.

"Microsoft sagde, at hackere kompromitterede SolarWinds 'Orion-overvågnings- og styringssoftware, så de kunne efterligne enhver eksisterende bruger og konto i organisationen, herunder meget privilegerede konti. Rusland siges at have udnyttet lag i forsyningskæden for at få adgang til offentlige myndigheders systemer."

relateret artikel:
SolarWinds-hacket kunne være meget værre end forventet

Bliv forstået af «angreb på softwareforsyningskæden » til den handling, hvormed En hacker indsætter ondsindet kode i legitim software for at sprede den overalt.

Derfor er gratis / åbne projekter, der er gratis og nemme at gennemføre, såsom "Sigstore" de er stadig mere nødvendige i vores tid.

Hvordan forhindres angreb på softwareforsyningskæden?

Selvom vi ved andre lejligheder har tilbudt nogle nyttige råd om informationssikkerhed, der er praktiske for alle og til enhver tid eller situation, er følgende tip direkte fokuseret på at afbøde denne type angreb så meget som muligt:

Tips til computersikkerhed til alle til enhver tid
relateret artikel:
Tips til computersikkerhed til alle når som helst og hvor som helst
  1. Oprette en oversigt over alle egne og tredjeparts softwareværktøjer, både gratis og åbne, og proprietære og lukkede, der bruges.
  2. Vær opmærksom på kendte og fremtidige sårbarheder i alle anvendte applikationer og systemer for hurtigst muligt at anvende de programrettelser, der er officielt tilgængelige.
  3. Hold dig informeret om opdagede overtrædelser eller angreb udført til egne og tredjeparts softwareleverandører for at undgå uventede overraskelser på disse måder.
  4. Fjern på kortest mulig tid de systemer, tjenester og protokoller, der kan være overflødige (unødvendige) eller forældede (ubrugte).
  5. Planlæg og implementer fælles strategier og sikkerhedskrav med dine softwareleverandører for at minimere it-risikoen fra dem og dine egne sikkerhedsprocesser.
  6. Kør regelmæssige koderevisioner. Og hold opdaterede sikkerhedsanmeldelser og ændre kontrolprocedurer, der kræves for hver komponent i koden, der oprettes eller bruges.
  7. Udfør rutinemæssige penetrationstest for at identificere potentielle farer på din computerplatform.
  8. Implementere it-sikkerhedsforanstaltninger som adgangskontrol og dobbeltfaktorautentificering (2FA) for at beskytte softwareudviklingsprocesser.
  9. Kør sikkerhedssoftware med flere beskyttelseslag. Især mod indtrængen, vira og rasomwares, så almindelig i disse dage.
  10. Hold din backup eller beredskabsplan opdateret for at sikkert vedligeholde de vitale data for dine applikationer, systemer og aktiviteter (processer) og være i stand til at gendanne nogen af ​​dem på kortest mulig tid.

Mere om Sigstore

Mere om sigstore

Endelig udviklerne af "Sigstore" de forklarer lidt driften af ​​dette projekt på følgende måde:

"sigstore udnytter eksisterende x509 PKI-teknologier og gennemsigtighedsregistre. Brugere genererer kortvarige kortvarige nøglepar ved hjælp af sigstore-klientværktøjerne. Sigstore PKI-tjenesten leverer derefter et signeringscertifikat, der er genereret efter et vellykket OpenID connect-tilskud. Alle certifikater registreres i et certifikatgennemsigtighedsregister, og software til signering af software sendes til et gendannelsesgennemsigtighedsregister."

Mere om Sigstore

"Brug af gennemsigtighedsposter introducerer en rod af tillid til brugerens OpenID-konto. Således kan vi have garantier for, at den påståede bruger var i kontrol med en identitetstjenesteudbyders konto på tidspunktet for underskrivelsen. Når signaturoperationen er afsluttet, kan nøglerne kasseres, hvilket eliminerer ethvert behov for yderligere nøglehåndtering eller behovet for tilbagekaldelse eller rotation."

For mere information om "Sigstore" du kan besøge din officielle hjemmeside på GitHub og Fællesskab (gruppe) offentlig om Google.

Resume: Forskellige publikationer

Resumé

Vi håber det "nyttigt lille indlæg" om  «Sigstore», et interessant og nyttigt projekt fra Linux Foundationsom er en gennemsigtighedstjeneste og softwaresignatur offentligt gode og non-profit, skabt til forbedre forsyningskæden open source software; er af stor interesse og nytte for hele det «Comunidad de Software Libre y Código Abierto» og med stort bidrag til udbredelsen af ​​det vidunderlige, gigantiske og voksende økosystem af applikationer af «GNU/Linux».

For nu, hvis du kunne lide dette publicación, Stop ikke del det med andre på dine yndlingswebsteder, kanaler, grupper eller samfund af sociale netværk eller messaging-systemer, helst gratis, åbent og / eller mere sikkert som TelegramSignalMastodon eller en anden af Fediverse, helst.

Og husk at besøge vores startside kl «DesdeLinux» for at udforske flere nyheder samt deltage i vores officielle kanal for Telegram af DesdeLinuxMens, for mere information, kan du besøge enhver Online bibliotek som OpenLibra y jedit, for at få adgang til og læse digitale bøger (PDF-filer) om dette emne eller andre.


Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.