Sigstore: kode irekiko hornikuntza katea hobetzeko proiektua

Sigstore: kode irekiko hornikuntza katea hobetzeko proiektua

Sigstore: kode irekiko hornikuntza katea hobetzeko proiektua

Gaur, buruz hitz egingo dugu "Sigstore". Askoren bat, proiektu libreak eta irekiak programaren tutoretzapean Linux Fundazioa.

"Sigstore" Irabazi asmorik gabeko onura publikoko zerbitzua eskaintzeko sortutako proiektua da funtsean hornidura katea hobetu de kode irekiko softwarea gardentasuna erregistratzeko teknologiek babestutako software sinadura kriptografikoa hartzea erraztea.

Automozio mailako Linux

"Sigstore", Ez da bakarra Linux Foundation proiektua aurrekoetan hitz egin duguna. Horietako beste bat izan da Automotive Grade Linux, garai hartan honela deskribatzen duguna:

"Automotive Grade (Quality) Linux kode irekiko lankidetzako proiektua da, automobilgileak, saltzaileak eta enpresa teknologikoak biltzen dituena, etorkizuneko autoarentzako software pila guztiz irekia garatu eta hartzea azkartzeko. Linux oinarritzat hartuta, AGL plataforma ireki bat garatzen ari da oinarritik, industria de facto estandar gisa balio dezakeena, ezaugarri eta teknologia berrien garapen azkarra ahalbidetzeko." Linux Foundation: Consumer Electronics Show 2020-en presente dago

Lotutako artikulua:
Linux Foundation: Consumer Electronics Show 2020-en presente dago

Lotutako artikulua:
Linux errepidean sartzen da Automotive Grade Linux-i esker

Geroago, etorkizuneko argitalpenetan, beste proiektu batzuk jorratuko ditugu, baina horietako batzuk beraiek aztertu nahi dituztenentzat, honako esteka honen bidez egin dezakete: Linux Foundation proiektuak.

Sigstore: Linux Fundazioaren proiektua

Sigstore: Linux Fundazioaren proiektua

Zer da Sigstore?

Bere ustez Sigstore webgune ofiziala, bera da:

"Kode irekiko softwarearen hornidura-katea hobetzeko irabazi asmorik gabeko zerbitzu publiko ona eskaintzeko helburuarekin sortutako proiektua, sinadura kriptografikoaren softwarea hartzea erraztuz, gardentasuna erregistratzeko teknologiek lagunduta. Horrez gain, software garatzaileak trebatzen saiatzen da software artefaktuak modu seguruan sinatzen, hala nola, askapen fitxategiak, edukiontzi irudiak, binarioak, materialen fakturak eta abar."

Gainera, proiektu honek honako hauek bermatu nahi ditu:

"Sinatutako materialak manipulazioaren aurkako erregistro publiko batean gordetzen dira."

Zergatik da garrantzitsua Sigstore?

Proiektu hau, bere tresnak eta kideak saihestu nahi da «software hornidura katearen aurkako erasoak », esaterako, zer gertatu zen SolarWinds eta azkenaldian ezagunak diren beste batzuk.

"Microsoftek esan zuen hackerrek SolarWinds-en Orion kontrol eta kudeaketa softwarea arriskuan jarri zutela, erakundean lehendik zeuden erabiltzaile eta kontuak ordezkatzea ahalbidetuz, kontu oso pribilegiatuak barne. Errusiak hornidura katearen geruzak ustiatu dituela gobernuko agentzia sistemetara sartzeko."

Lotutako artikulua:
SolarWinds hack espero baino askoz okerragoa izan liteke

Izan ulertu «software hornidura katearen aurkako erasoa » horren bidez, Hacker batek kode maltzurra txertatzen du legezko softwareetan edonon zabaltzeko.

Hori dela eta, doako eta inplementatzeko errazak diren proiektu libreak / irekiak, esaterako "Sigstore" gero eta beharrezkoagoak dira gure egunetan.

Nola ekidin software hornidura katearen aurkako erasoak?

Beste batzuetan, informazioaren segurtasunerako aholku erabilgarriak eskaini badizkiegu ere, praktikoak guztientzat eta edozein unetan edo egoeratan, honako aholku hauek zuzenean bideratuta daude eraso mota hau ahalik eta gehien arintzeko:

Lotutako artikulua:
Informatika Segurtasunerako Aholkuak Denontzat Edonoiz eta Edonon
  1. Egin erabiltzen diren software tresna propioen eta hirugarrenen inbentarioa, doakoak zein irekiak, eta jabeak eta itxiak.
  2. Adi egon ezagunak eta etorkizuneko ahultasunak, erabilitako aplikazio eta sistema guztien aurrean, ofizialki eskuragarri dauden adabakiak ahalik eta azkarren aplikatzeko.
  3. Izan zaitez informatuta detektatutako arau-hausteei edo egindako erasoei buruz, software propioen eta hirugarrenen hornitzaileei, modu honetan ustekabeko ustekabeak ekiditeko.
  4. Ezabatu ahalik eta denbora laburrenean, erredundanteak (beharrezkoak ez direnak) edo zaharkituak (erabili gabekoak) izan daitezkeen sistema, zerbitzu eta protokoloak.
  5. Planifikatu eta ezarri estrategia bateratuak eta segurtasun eskakizunak zure software hornitzaileekin, beraien eta zure segurtasun prozesuen IT arriskua minimizatzeko.
  6. Egin ohiko kode-ikuskapenak. Segurtasun berrikuspenak eta aldaketak kontrolatzeko prozedurak eguneratuta izatea, sortutako edo erabilitako kodearen osagai bakoitzerako beharrezkoak direnak.
  7. Egin ohiko sartze probak zure ordenagailu plataforman arrisku potentzialak identifikatzeko.
  8. Informatikako segurtasun neurriak ezartzea, hala nola sarbide kontrolak eta faktore bikoitzeko autentifikazioa (2FA) softwarea garatzeko prozesuak babesteko.
  9. Exekutatu segurtasun softwarea babes geruza anitzekin. Batez ere, gaur egun oso ohikoak diren intrusioen, birusen eta rasomwarearen aurka.
  10. Mantendu segurtasun kopia edo larrialdi plana eguneratuta, horretarako segurtasunez mantendu zure aplikazioen, sistemen eta jardueren (prozesuen) funtsezko datuak, eta gai izan horietako edozein berreskuratzeko, ahalik eta denbora laburrenean.

Sigstoreri buruzko informazio gehiago

Informazio gehiago sigdenda

Azkenean, "Sigstore" proiektu honen funtzionamendua azaltzen dute apur bat modu honetan:

"sigdenda lehendik dauden x509 PKI teknologiak eta gardentasun erregistroak baliatzen ditu. Erabiltzaileek epe laburreko gako bikoteak sortzen dituzte sigstore bezeroaren tresnak erabiliz. Orduan, sigstore PKI zerbitzuak OpenID konektatzeko beka arrakastatsua izan ondoren sortutako sinadura ziurtagiria emango du. Ziurtagiri guztiak ziurtagirien gardentasun erregistro batean erregistratzen dira eta softwareak sinatzeko materialak sinadura gardentasun erregistro batera aurkezten dira."

Sigstoreri buruzko informazio gehiago

"Gardentasun erregistroak erabiltzeak konfiantza erro bat sartzen du erabiltzailearen OpenID kontuan. Horrela, sinatutako unean erreklamatutako erabiltzaileak identitate zerbitzu hornitzaile baten kontua kontrolpean zuela bermeak izan ditzakegu. Sinadura eragiketa amaitutakoan, gakoak baztertu egin daitezke, gakoen kudeaketa osagarriaren beharra edo errebokazio edo biraketa beharra ezabatuz."

Informazio gehiago nahi izanez gero "Sigstore" zure bisita dezakezu webgune ofiziala GitHub-en eta Komunitatea (Taldea) publikoa on Google.

Laburpena: Hainbat argitalpen

Laburpena

Hau espero dugu "mezu txiki erabilgarria" on  «Sigstore», proiektu interesgarri eta erabilgarria Linux Fundazioahau da gardentasun zerbitzua eta software sinadura onura publikoa eta irabazi asmorik gabekoa, horretarako sortua hornidura katea hobetu kode irekiko softwarea; interes eta erabilgarritasun handia du, osorako «Comunidad de Software Libre y Código Abierto» eta ekarpen handia duten aplikazioen ekosistema zoragarri, erraldoi eta hazkundea hedatzen «GNU/Linux».

Oraingoz, hau gustatu bazaizu publicación, Ez gelditu partekatu beste batzuekin, zure webgune, kanal, talde edo sare sozialetako edo mezularitza sistemetako komunitate gogokoetan, ahal dela doakoak, irekiak eta / edo seguruagoak diren moduan TelegramaSeinaleaMastodon edo beste Fediverse, hobe.

Eta gogoratu gure orri nagusian bisitatzea «Linux-etik» albiste gehiago aztertzeko, baita gure kanal ofizialean sartzeko ere DesdeLinux-en telegramaInformazio gehiago nahi izanez gero, edozein bisita dezakezu Lineako liburutegia bezala OpenLibra y jedit, gai honi edo beste batzuei buruzko liburu digitalak (PDFak) sartzeko eta irakurtzeko.


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko.

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.