Sigstore: Έργο για τη βελτίωση της αλυσίδας εφοδιασμού ανοιχτού κώδικα
Σήμερα, θα μιλήσουμε για "Sigstore". Ένα από τα πολλά, του δωρεάν και ανοιχτά έργα υπό την εποπτεία του Linux Foundation.
"Sigstore" Είναι βασικά ένα έργο που δημιουργήθηκε για να παρέχει μια υπηρεσία δημόσιου αγαθού, μη κερδοσκοπικού χαρακτήρα βελτίωση της αλυσίδας εφοδιασμού de λογισμικό ανοιχτού κώδικα διευκολύνοντας την υιοθέτηση κρυπτογραφικής υπογραφής λογισμικού που υποστηρίζεται από τεχνολογίες καταχώρησης διαφάνειας.
"Sigstore"Δεν είναι το μόνο Πρόγραμμα Linux Foundation για τα οποία έχουμε μιλήσει σε προηγούμενες περιπτώσεις. Ένα άλλο από αυτά ήταν Automotive Grade Linux, το οποίο περιγράφουμε εκείνη τη στιγμή ως εξής:
"Το Automotive Grade (Quality) Linux είναι ένα έργο συνεργασίας ανοιχτού κώδικα που συγκεντρώνει αυτοκινητοβιομηχανίες, προμηθευτές και εταιρείες τεχνολογίας για να επιταχύνει την ανάπτυξη και την υιοθέτηση μιας πλήρως ανοιχτής στοίβας λογισμικού για το αυτοκίνητο του μέλλοντος. Με το Linux στον πυρήνα του, η AGL αναπτύσσει μια ανοιχτή πλατφόρμα από τη βάση προς τα πάνω που μπορεί να χρησιμεύσει ως de facto βιομηχανικό πρότυπο για να επιτρέψει την ταχεία ανάπτυξη νέων δυνατοτήτων και τεχνολογιών." Linux Foundation: Παρουσίαση στο Consumer Electronics Show 2020
Αργότερα, σε μελλοντικές εκδόσεις, θα ασχοληθούμε με άλλα έργα, αλλά για όσους θέλουν να εξερευνήσουν μερικά από αυτά μόνοι τους, μπορούν να το κάνουν μέσω του παρακάτω συνδέσμου: Έργα Linux Foundation.
Sigstore: Ένα έργο του Linux Foundation
Τι είναι το Sigstore;
Σύμφωνα με τον ίδιο Επίσημος ιστότοπος της Sigstore, το ίδιο είναι:
"Ένα έργο που δημιουργήθηκε με στόχο την παροχή μιας μη κερδοσκοπικής δημόσιας καλής υπηρεσίας για τη βελτίωση της αλυσίδας εφοδιασμού λογισμικού ανοιχτού κώδικα διευκολύνοντας την υιοθέτηση της κρυπτογραφικής υπογραφής του λογισμικού, υποστηριζόμενη από τεχνολογίες καταχώρησης διαφάνειας. Επιπλέον, προσπαθεί να εκπαιδεύσει τους προγραμματιστές λογισμικού να υπογράφουν με ασφάλεια τεχνουργήματα λογισμικού όπως αρχεία απελευθέρωσης, εικόνες κοντέινερ, δυαδικά αρχεία, εκδηλώσεις λογαριασμών υλικών και άλλα."
Επιπλέον, το έργο επιδιώκει να διασφαλίσει ότι:
"Τα υπογεγραμμένα υλικά αποθηκεύονται σε δημόσια παραβίαση παραβίασης."
Γιατί είναι σημαντικό το Sigstore;
Αυτό το έργο, τα εργαλεία και τα μέλη του, επιδιώκει να αποφύγει «επιθέσεις στην αλυσίδα εφοδιασμού λογισμικού », όπως, τι συνέβη με SolarWinds και άλλοι γνωστοί τα τελευταία χρόνια.
"Η Microsoft δήλωσε ότι οι χάκερς έθεσαν σε κίνδυνο το λογισμικό παρακολούθησης και διαχείρισης της Orion της SolarWinds, επιτρέποντάς τους να πλαστοπροσωπήσουν οποιονδήποτε υπάρχοντα χρήστη και λογαριασμό στον οργανισμό, συμπεριλαμβανομένων των λογαριασμών με πολύ προνομιακούς όρους. Η Ρωσία λέγεται ότι έχει εκμεταλλευτεί στρώματα της αλυσίδας εφοδιασμού για πρόσβαση σε συστήματα κυβερνητικών υπηρεσιών."
Να γίνει κατανοητό από «επίθεση στην αλυσίδα εφοδιασμού λογισμικού » στην πράξη με την οποία, Ένας χάκερ εισάγει κακόβουλο κώδικα σε νόμιμο λογισμικό για να τον διαδώσει παντού.
Ως εκ τούτου, δωρεάν / ανοιχτά έργα που είναι δωρεάν και εύκολα στην εφαρμογή, όπως "Sigstore" είναι όλο και πιο απαραίτητο στις μέρες μας.
Πώς να αποτρέψετε τις επιθέσεις στην αλυσίδα εφοδιασμού λογισμικού;
Αν και, σε άλλες περιπτώσεις, έχουμε προσφέρει μερικές χρήσιμες συμβουλές ασφάλειας πληροφοριών, πρακτικές για όλους και ανά πάσα στιγμή ή κατάσταση, οι παρακάτω συμβουλές εστιάζονται άμεσα στην άμβλυνση αυτού του τύπου επίθεσης όσο το δυνατόν περισσότερο:
- Διατηρήστε ένα απόθεμα όλων των εργαλείων λογισμικού που ανήκουν σε τρίτους και τρίτους, τόσο ελεύθερα όσο και ανοιχτά, καθώς και αποκλειστικά και κλειστά, που χρησιμοποιούνται.
- Να γνωρίζετε τις γνωστές και μελλοντικές ευπάθειες, όλων των εφαρμογών και των συστημάτων που χρησιμοποιούνται, για να εφαρμόσετε το συντομότερο δυνατό τις ενημερώσεις κώδικα που είναι επίσημα διαθέσιμες.
- Μείνετε ενημερωμένοι για παραβιάσεις που εντοπίστηκαν ή επιθέσεις που πραγματοποιήθηκαν, σε δικούς σας και τρίτους παρόχους λογισμικού, για να αποφύγετε απροσδόκητες εκπλήξεις με αυτούς τους τρόπους.
- Εξαλείψτε το συντομότερο δυνατό χρονικό διάστημα, τα συστήματα, τις υπηρεσίες και τα πρωτόκολλα που ενδέχεται να είναι περιττά (περιττά) ή ξεπερασμένα (αχρησιμοποίητα).
- Σχεδιάστε και εφαρμόστε κοινές στρατηγικές και απαιτήσεις ασφάλειας με τους παρόχους λογισμικού σας, για να ελαχιστοποιήσετε τον κίνδυνο πληροφορικής από αυτούς και τις δικές σας διαδικασίες ασφαλείας.
- Εκτελέστε τακτικούς ελέγχους κώδικα. Και διατηρήστε ενημερωμένες κριτικές ασφαλείας και διαδικασίες ελέγχου αλλαγών, που απαιτούνται για κάθε στοιχείο του κώδικα που δημιουργείται ή χρησιμοποιείται.
- Πραγματοποιήστε δοκιμές ρουτίνας διείσδυσης για να εντοπίσετε πιθανούς κινδύνους στην πλατφόρμα υπολογιστών σας.
- Εφαρμόστε μέτρα ασφάλειας IT, όπως ελέγχους πρόσβασης και έλεγχο ταυτότητας διπλού παράγοντα (2FA) για την προστασία των διαδικασιών ανάπτυξης λογισμικού.
- Εκτελέστε λογισμικό ασφαλείας με πολλαπλά επίπεδα προστασίας. Ειδικά ενάντια στις εισβολές, τους ιούς και τα rasomwares, τόσο συνηθισμένα σήμερα.
- Διατηρήστε το αντίγραφο ασφαλείας ή το πρόγραμμα έκτακτης ανάγκης σας ενημερωμένο, προκειμένου να το κάνετε διατηρήστε με ασφάλεια τα ζωτικά δεδομένα των εφαρμογών, των συστημάτων και των δραστηριοτήτων σας (διαδικασίες) και μπορείτε να ανακτήσετε οποιοδήποτε από αυτά, το συντομότερο δυνατό χρονικό διάστημα.
Περισσότερα για sigstore
Τέλος, οι προγραμματιστές του "Sigstore" εξηγούν λίγο τη λειτουργία αυτού του έργου με τον ακόλουθο τρόπο:
"sigstore αξιοποιεί τις υπάρχουσες τεχνολογίες x509 PKI και τα μητρώα διαφάνειας. Οι χρήστες δημιουργούν βραχύβια ζεύγη εφήμερων κλειδιών χρησιμοποιώντας τα εργαλεία πελάτη sigstore. Η υπηρεσία sigstore PKI θα παρέχει στη συνέχεια ένα πιστοποιητικό υπογραφής που δημιουργήθηκε μετά από μια επιτυχή επιχορήγηση σύνδεσης OpenID Όλα τα πιστοποιητικά καταγράφονται σε μητρώο διαφάνειας πιστοποιητικών και το υλικό υπογραφής λογισμικού υποβάλλεται σε μητρώο διαφάνειας υπογραφής."
"Η χρήση εγγραφών διαφάνειας εισάγει μια ρίζα εμπιστοσύνης στον λογαριασμό OpenID του χρήστη. Έτσι, μπορούμε να έχουμε εγγυήσεις ότι ο διεκδικητής χρήστης είχε τον έλεγχο του λογαριασμού ενός παρόχου υπηρεσιών ταυτότητας κατά τη στιγμή της υπογραφής. Μόλις ολοκληρωθεί η λειτουργία υπογραφής, τα κλειδιά μπορούν να απορριφθούν, εξαλείφοντας οποιαδήποτε ανάγκη για πρόσθετη διαχείριση κλειδιών ή την ανάγκη ανάκλησης ή περιστροφής."
Για περισσότερες πληροφορίες σχετικά με "Sigstore" μπορείτε να επισκεφθείτε τη δική σας επίσημος ιστότοπος στο GitHub και Κοινό (Ομάδα) κοινό επί Google.
περίληψη
Ελπίζουμε αυτό "χρήσιμη μικρή ανάρτηση" επί «Sigstore», ένα ενδιαφέρον και χρήσιμο έργο του Linux Foundationπου είναι α υπηρεσία διαφάνειας και υπογραφή λογισμικού δημόσιο αγαθό και μη κερδοσκοπικό, δημιουργήθηκε για βελτίωση της αλυσίδας εφοδιασμού λογισμικό ανοικτού κώδικα; έχει μεγάλο ενδιαφέρον και χρησιμότητα, για το σύνολο «Comunidad de Software Libre y Código Abierto» και μεγάλη συμβολή στη διάδοση του υπέροχου, γιγαντιαίου και αναπτυσσόμενου οικοσυστήματος εφαρμογών του «GNU/Linux».
Προς το παρόν, αν σας άρεσε αυτό publicación, Μην σταματάς μοιραστείτε το με άλλους, στους αγαπημένους σας ιστότοπους, κανάλια, ομάδες ή κοινότητες κοινωνικών δικτύων ή συστημάτων ανταλλαγής μηνυμάτων, κατά προτίμηση δωρεάν, ανοιχτό ή / και πιο ασφαλές ως Telegram, Σήμα, Μαστόδοντας ή άλλο Fediverse, κατά προτίμηση.
Και θυμηθείτε να επισκεφτείτε την αρχική μας σελίδα στο «DesdeLinux» για να εξερευνήσετε περισσότερες ειδήσεις, καθώς και να εγγραφείτε στο επίσημο κανάλι μας Τηλεγράφημα από DesdeLinux. Ενώ, για περισσότερες πληροφορίες, μπορείτε να επισκεφθείτε οποιαδήποτε Διαδικτυακή βιβλιοθήκη ως OpenLibra y jedit, για πρόσβαση και ανάγνωση ψηφιακών βιβλίων (PDF) σε αυτό το θέμα ή σε άλλα.