Sigstore: Projekt zur Verbesserung der Open-Source-Lieferkette
Heute werden wir darüber sprechen "Sigstore". Einer von vielen, der freie und offene Projekte unter der Anleitung des Linux Foundation.
"Sigstore" Es ist im Grunde ein Projekt, das geschaffen wurde, um einen gemeinnützigen Dienst für das Gemeinwohl bereitzustellen, um Lieferkette verbessern de Open-Source-Software Erleichterung der Einführung von kryptografischen Softwaresignaturen, die durch Technologien zur Transparenzregistrierung unterstützt werden.
"Sigstore", Es ist nicht der einzige Linux Foundation-Projekt über die wir bei früheren Gelegenheiten gesprochen haben. Ein anderer von ihnen war Linux in Automobilqualität, die wir damals wie folgt beschreiben:
"Automotive Grade (Quality) Linux ist ein Open-Source-Kooperationsprojekt, das Automobilhersteller, Anbieter und Technologieunternehmen zusammenbringt, um die Entwicklung und Einführung eines vollständig offenen Software-Stack für das Auto der Zukunft zu beschleunigen. Mit Linux als Kernstück entwickelt AGL von Grund auf eine offene Plattform, die als De-facto-Industriestandard dienen kann, um die schnelle Entwicklung neuer Funktionen und Technologien zu ermöglichen." Linux Foundation: Präsentiert auf der Consumer Electronics Show 2020
Später, in zukünftigen Veröffentlichungen, werden wir uns mit anderen Projekten befassen, aber für diejenigen, die einige davon selbst erkunden möchten, können sie dies über den folgenden Link tun: Linux Foundation-Projekte.
Sigstore: Ein Projekt der Linux Foundation
Was ist Sigstore?
Nach seinen Angaben Offizielle Website von Sigstoredas gleiche ist:
"Ein Projekt, das mit dem Ziel ins Leben gerufen wurde, einen gemeinnützigen öffentlichen Dienst zur Verbesserung der Open-Source-Softwarelieferkette bereitzustellen, indem die Einführung der kryptografischen Softwaresignatur erleichtert wird, unterstützt durch Transparenzregistrierungstechnologien. Darüber hinaus wird versucht, Softwareentwickler darin zu schulen, Software-Artefakte wie Release-Dateien, Container-Images, Binärdateien, Stücklisten-Manifeste und mehr sicher zu signieren."
Darüber hinaus soll mit diesem Projekt sichergestellt werden, dass:
"Die signierten Materialien werden in einem manipulationssicheren öffentlichen Verzeichnis gespeichert."
Warum ist Sigstore wichtig?
Dieses Projekt, seine Tools und Mitglieder versuchen zu vermeiden «Angriffe auf die Software-Lieferkette », wie, was ist passiert mit SolarWinds und andere, die in letzter Zeit bekannt sind.
"Microsoft sagte, die Hacker hätten die Überwachungs- und Verwaltungssoftware Orion von SolarWinds kompromittiert, wodurch sie sich für jeden vorhandenen Benutzer und jedes Konto in der Organisation ausgeben können, einschließlich hochprivilegierter Konten. Russland soll Schichten der Lieferkette ausgenutzt haben, um Zugang zu Systemen von Regierungsbehörden zu erhalten."
Verstanden sein von «Angriff auf die Software-Lieferkette » zu der Handlung, durch die Ein Hacker fügt bösartigen Code in legitime Software ein, um ihn überall zu verbreiten.
Daher kostenlose / offene Projekte, die kostenlos und einfach zu implementieren sind, wie z "Sigstore" sie sind in unseren Tagen immer notwendiger.
Wie verhindert man Angriffe auf die Software-Lieferkette?
Obwohl wir bei anderen Gelegenheiten einige nützliche Ratschläge zur Informationssicherheit gegeben haben, die für jeden und zu jeder Zeit oder in jeder Situation praktisch sind, sind die folgenden Tipps direkt darauf ausgerichtet, diese Art von Angriffen so weit wie möglich abzuschwächen:
- Führen Sie eine Bestandsaufnahme aller genutzten eigenen und fremden Softwaretools, sowohl freie als auch offene sowie proprietäre und geschlossene.
- Achten Sie auf bekannte und zukünftige Schwachstellen aller verwendeten Anwendungen und Systeme, um die offiziell verfügbaren Patches so schnell wie möglich zu installieren.
- Informieren Sie sich über erkannte Sicherheitsverletzungen oder durchgeführte Angriffe an eigene und fremde Softwareanbieter, um auf diese Weise unerwartete Überraschungen zu vermeiden.
- Eliminieren Sie in kürzester Zeit alle Systeme, Dienste und Protokolle, die redundant (unnötig) oder veraltet (unbenutzt) sein können.
- Planen und implementieren Sie mit Ihren Softwareanbietern gemeinsame Strategien und Sicherheitsanforderungen, um das daraus resultierende IT-Risiko und Ihre eigenen Sicherheitsprozesse zu minimieren.
- Führen Sie regelmäßige Code-Audits durch. Und halten Sie Sicherheitsüberprüfungen und Änderungskontrollverfahren auf dem neuesten Stand, die für jede Komponente des erstellten oder verwendeten Codes erforderlich sind.
- Führen Sie routinemäßige Penetrationstests durch, um potenzielle Gefahren auf Ihrer Computerplattform zu identifizieren.
- Implementieren Sie IT-Sicherheitsmaßnahmen wie Zugriffskontrollen und Doppelfaktor-Authentifizierung (2FA), um Softwareentwicklungsprozesse zu schützen.
- Führen Sie Sicherheitssoftware mit mehreren Schutzebenen aus. Vor allem gegen Eindringlinge, Viren und Rasomware, die heutzutage so verbreitet sind.
- Halten Sie Ihren Backup- oder Notfallplan auf dem neuesten Stand, um die lebenswichtigen Daten Ihrer Anwendungen, Systeme und Aktivitäten (Prozesse) sicher verwalten und in kürzester Zeit wiederherstellen können.
Mehr dazu signstore
Schließlich haben die Entwickler von "Sigstore" Sie erklären ein wenig die Funktionsweise dieses Projekts auf folgende Weise:
"signstore nutzt vorhandene x509-PKI-Technologien und Transparenzprotokolle. Benutzer generieren kurzlebige kurzlebige Schlüsselpaare mit den sigstore-Clienttools. Der sigstore PKI-Dienst stellt dann ein Signaturzertifikat bereit, das nach einer erfolgreichen OpenID-Verbindungserteilung generiert wurde. Alle Zertifikate werden in einem Zertifikatstransparenzregister erfasst und Software-Signaturmaterialien werden an ein Signaturtransparenzregister übermittelt."
"Durch die Verwendung von Transparenzdatensätzen wird eine Vertrauensbasis in das OpenID-Konto des Benutzers eingeführt. Somit können wir garantieren, dass der beanspruchte Benutzer zum Zeitpunkt der Unterzeichnung die Kontrolle über das Konto eines Identitätsdienstanbieters hatte. Sobald der Signiervorgang abgeschlossen ist, können die Schlüssel verworfen werden, sodass keine zusätzliche Schlüsselverwaltung oder Sperrung oder Rotation erforderlich ist."
Weitere Informationen zu "Sigstore" du kannst deine besuchen offizielle Website auf GitHub und Gemeinschaft (Gruppe) öffentlich auf Google.
Zusammenfassung
Wir hoffen das "hilfreicher kleiner Beitrag" auf «Sigstore», ein interessantes und nützliches Projekt der Linux Foundation, das ist ein Transparenzservice und Softwaresignatur öffentliches Gut und gemeinnützig, geschaffen für Lieferkette verbessern Quelloffene Software; ist von großem Interesse und Nutzen für die gesamte «Comunidad de Software Libre y Código Abierto» und von großem Beitrag zur Verbreitung des wunderbaren, gigantischen und wachsenden Ökosystems der Anwendungen von «GNU/Linux».
Fürs Erste, wenn dir das gefallen hat publicación, Halte nicht an teile es mit anderen auf Ihren bevorzugten Websites, Kanälen, Gruppen oder Gemeinschaften von sozialen Netzwerken oder Nachrichtensystemen, vorzugsweise kostenlos, offen und / oder sicherer als Telegram, Signal, Mastodon oder eine andere von Fediverse, vorzugsweise.
Und denken Sie daran, unsere Homepage unter zu besuchen «FromLinux» um weitere Neuigkeiten zu erfahren und sich unserem offiziellen Kanal von anzuschließen FromLinux-Telegramm. Für weitere Informationen können Sie alle besuchen Online-Bibliothek als OpenLibra y jedit, Zugriff auf und Lesen von digitalen Büchern (PDFs) zu diesem oder anderen Themen.