Sigstore: avatud lähtekoodiga tarneahela täiustamise projekt

Linux Post Install

7 minutit

Sigstore: avatud lähtekoodiga tarneahela täiustamise projekt

Sigstore: avatud lähtekoodiga tarneahela täiustamise projekt

Täna räägime "Sigstore". Üks paljudest tasuta ja avatud projektid alluvuses Linuxi sihtasutus.

"Sigstore" Põhimõtteliselt on see projekt loodud avalike hüvede teenimiseks mittetulunduslikel eesmärkidel parandada tarneahelat de avatud lähtekoodiga tarkvara läbipaistvuse registreerimise tehnoloogiatega tagatud tarkvara krüptograafilise allkirja vastuvõtmise hõlbustamine.

Autotööstuse hinne Linux

"Sigstore", See pole ainus Linux Foundationi projekt millest oleme varasematel puhkudel rääkinud. Teine neist on olnud Autotööstuse hinne Linux, mida me kirjeldasime sel ajal järgmiselt:

"Automotive Grade (kvaliteet) Linux on avatud lähtekoodiga koostööprojekt, mis toob kokku autotootjad, müüjad ja tehnoloogiaettevõtted, et kiirendada tuleviku auto jaoks täielikult avatud tarkvarakogumi väljatöötamist ja kasutuselevõttu. Kuna Linux on keskmes, arendab AGL juba algusest peale avatud platvormi, mis võib olla de facto tööstuse standard, mis võimaldab uute funktsioonide ja tehnoloogiate kiiret arengut." Linux Foundation: kohal Consumer Electronics Show 2020-l

Linux Foundation: kohal Consumer Electronics Show 2020-l
Seotud artikkel:
Linux Foundation: kohal Consumer Electronics Show 2020-l
 Autotööstuse hinne Linux
Seotud artikkel:
Linux jõuab teele tänu Automotive Grade Linuxile

Hiljem käsitleme tulevastes väljaannetes teisi projekte, kuid neile, kes soovivad mõnda neist ise uurida, saavad nad seda teha järgmise lingi kaudu: Linux Foundationi projektid.

Sigstore: Linuxi sihtasutuse projekt

Sigstore: Linuxi sihtasutuse projekt

Mis on Sigstore?

Enda sõnul Sigstore'i ametlik veebisait, sama on:

"Projekt, mille eesmärk on pakkuda mittetulunduslikku avalikku teenust, et parandada avatud lähtekoodiga tarkvara tarneahelat, hõlbustades tarkvara krüptograafilise allkirja vastuvõtmist, mida toetab läbipaistvuse registreerimise tehnoloogia. Lisaks püüab see koolitada tarkvaraarendajaid turvaliselt tarkvara artefaktidele, näiteks väljalaskefailidele, konteineripiltidele, binaarfailidele, materjaliarvutitele ja muule, turvaliselt alla kirjutama."

Lisaks püütakse selle projektiga tagada, et:

"Allkirjastatud materjalid salvestatakse võltsimiskindlas avalikus registris."

Miks on Sigstore oluline?

Seda projekti, selle tööriistu ja liikmeid püütakse vältida «rünnakud tarkvara tarneahelale », näiteks mis juhtus SolarWinds ja teised viimasel ajal hästi tuntud.

"Microsofti sõnul rikkusid häkkerid SolarWindsi Orioni jälgimis- ja haldustarkvara, võimaldades neil kehastada organisatsiooni mis tahes olemasolevat kasutajat ja kontot, sealhulgas eriti privilegeeritud kontosid. Väidetavalt on Venemaa kasutanud tarneahela kihte, et pääseda juurde valitsusasutuste süsteemidele."

Seotud artikkel:
SolarWindsi häkkimine võib olla oodatust palju hullem

Saa aru «rünnak tarkvara tarneahelale » aktile, millega häkker sisestab seadusesse tarkvarasse pahatahtliku koodi, et seda kõikjal levitada.

Seega tasuta / avatud projektid, mis on tasuta ja hõlpsasti teostatavad, näiteks "Sigstore" neid on meie päevil üha enam vaja.

Kuidas vältida rünnakuid tarkvara tarneahelale?

Ehkki muudel juhtudel oleme pakkunud kasulikke infoturbealaseid nõuandeid, mis on praktilised kõigile ja igal ajal või igas olukorras, on järgmised näpunäited suunatud just seda tüüpi rünnakute võimalikult sujuvale leevendamisele:

IT-turvalisuse näpunäited kõigile ja igal ajal
Seotud artikkel:
Arvutiturbe näpunäited kõigile igal ajal ja igal pool
  1. Hoidke kõigi kasutatavate enda ja kolmandate osapoolte tarkvaratööriistade (nii tasuta kui ka avatud ning varaliste ja suletud) inventari.
  2. Olge kursis kõigi kasutatavate rakenduste ja süsteemide teadaolevate ja tulevaste haavatavustega, et ametlikult saadaval olevaid plaastreid võimalikult kiiresti rakendada.
  3. Selliste ootamatute üllatuste vältimiseks hoidke end ja kolmandate osapoolte tarkvara pakkujaid kursis avastatud rikkumiste või korraldatud rünnakutega
  4. Kõrvaldage võimalikult kiiresti need süsteemid, teenused ja protokollid, mis võivad olla üleliigsed (mittevajalikud) või aegunud (kasutamata).
  5. Planeerige ja rakendage oma tarkvarapakkujatega ühiseid strateegiaid ja turvanõudeid, et minimeerida nende ja teie enda turbeprotsesside IT-riske.
  6. Käivitage regulaarselt koodiauditeid. Hoidke ajakohastatud turvaülevaateid ja muutke juhtimisprotseduure, mis on vajalikud iga loodud või kasutatud koodi komponendi jaoks.
  7. Tehke rutiinsed levitustestid, et tuvastada arvutusplatvormil olevad võimalikud ohud.
  8. Rakendage tarkvara arendusprotsesside kaitsmiseks IT-turvameetmeid, näiteks juurdepääsu kontroll ja kaheastmeline autentimine (2FA).
  9. Käivitage mitme kaitsekihiga turvatarkvara. Eriti sissetungide, viiruste ja rasomware vastu, mis on tänapäeval nii levinud.
  10. Hoidke oma varukoopia või situatsiooniplaan selleks ajakohane säilitage turvaliselt oma rakenduste, süsteemide ja tegevuste (protsesside) elutähtsaid andmeid ning suutke need võimalikult lühikese aja jooksul taastada.

Lisateave Sigstore'i kohta

Rohkem selle kohta sigstore

Lõpuks "Sigstore" nad selgitavad veidi selle projekti toimimist järgmiselt:

"sigstore kasutab olemasolevaid x509 PKI tehnoloogiaid ja läbipaistvuse logisid. Kasutajad genereerivad sigstore'i kliendi tööriistade abil lühiajalisi lühiajalisi võtmepaare. Sigstore PKI teenus annab seejärel allkirjastamise sertifikaadi, mis on loodud pärast edukat OpenID-ühenduse loomist. Kõik sertifikaadid registreeritakse sertifikaatide läbipaistvuse registris ja tarkvara allkirjastamise materjalid esitatakse allkirja läbipaistvuse registris."

Lisateave Sigstore'i kohta

"Läbipaistvuskirjete kasutamine loob kasutaja OpenID-kontole usalduse juure. Seega saame tagada, et taotletud kasutaja kontrollis allkirjastamise ajal identiteediteenuse pakkuja kontot. Kui allkirjastamistoiming on lõpule jõudnud, saab võtmed ära visata, välistades vajaduse täiendava võtmehalduse järele või tühistamise või pööramise järele."

Lisateavet "Sigstore" saate külastada oma ametlik veebisait GitHubis ja Kogukonna (grupi) avalikkus edasi Google.

Kokkuvõte: Erinevad väljaanded

Kokkuvõte

Loodame seda "kasulik väike postitus" edasi  «Sigstore», huvitav ja kasulik projekt Linuxi sihtasutusmis on a läbipaistvusteenus ja tarkvara allkiri jaoks loodud avalik hüve ja mittetulundusühing parandada tarneahelat avatud lähtekoodiga tarkvara; pakub suurt huvi ja kasulikkust tervikuna «Comunidad de Software Libre y Código Abierto» ja on suur panus Iraanide imelise, hiiglasliku ja kasvava ökosüsteemi levimisse «GNU/Linux».

Praegu, kui see teile meeldis publicación, Ära peatu jaga seda teistega oma lemmikveebisaitidel, kanalitel, suhtlusvõrgustike või sõnumsüsteemide rühmades või kogukondades, eelistatavalt tasuta, avatud ja / või turvalisem TelegrammSignaaliPaksunahaline või mõni muu Fediverse, eelistatavalt.

Ja pidage meeles, et külastage meie kodulehte aadressil «DesdeLinux» uurida rohkem uudiseid ning liituda meie ametliku kanaliga Telegramm DesdeLinuxKuigi lisateabe saamiseks võite külastada mis tahes Veebiraamatukogu kui OpenLibra y jedit, selle teema või teiste digitaalsete raamatute (PDF-ide) juurde pääsemiseks ja nende lugemiseks.


Jäta oma kommentaar

Sinu e-postiaadressi ei avaldata. Kohustuslikud väljad on tähistatud *

*

*

  1. Andmete eest vastutab: Miguel Ángel Gatón
  2. Andmete eesmärk: Rämpsposti kontrollimine, kommentaaride haldamine.
  3. Seadustamine: teie nõusolek
  4. Andmete edastamine: andmeid ei edastata kolmandatele isikutele, välja arvatud juriidilise kohustuse alusel.
  5. Andmete salvestamine: andmebaas, mida haldab Occentus Networks (EL)
  6. Õigused: igal ajal saate oma teavet piirata, taastada ja kustutada.