Sigstore, softwarearen jatorria eta benetakotasuna egiaztatzeko doako zerbitzua

Software librearen hornikuntza katea bermatzeko ahaleginean Linux Fundazioa (iturburu irekiaren bidez berrikuntza sustatzen duen irabazi asmorik gabeko erakundea) Red Hat, Google eta Purdue Unibertsitatearekin lankidetzan aritu da merkaturatzeko proiektu berri bat garatzaileei softwarean sinadura kriptografikoa erraz hartzen laguntzeko.

Hau proiektu berria erregistro gardentasuneko teknologiek babesten dute, proiektuak gero eta kode irekiko softwarearen adopzio industrial gero eta handiagoa baita. Sigstore, software biltegi publiko baten aurkako erasoak hornidura katean kode ustela txertatzea ekiditea du helburu.

sigdenda software garatzaileei segurtasunez sinatzeko aukera emango die software artifacts, hala nola bertsio fitxategiak, edukiontzi irudiak eta binarioak. Aipatzen da sinatutako elementuak manipulazio gabeko aldizkari publiko batean gordetzen direla.

SigStore-k garatzaileei aukera eman nahi die softwareen jatorria eta benetakotasuna ulertzeko eta baieztatzeko, askotan planteamendu eta datu formatu multzo desberdinetan oinarrituta dagoena. Dauden irtenbideak sistema ez seguruetan gordetako "digest" -etan (hash edo emaitzak) oinarritzen dira, hondatuta egon daitezkeenak eta hainbat eraso sor ditzakete, hala nola hash trukea edo hash funtzioa, erabiltzaileen aurkako erasoak.

Zerbitzuaren erabilera doakoa izango da software garatzaile eta saltzaile guztientzat, eta SigStore komunitateak sigstore kodea eta tresna operatiboak garatuko ditu. Red Hat, Google eta Purdue Unibertsitatea proiektuaren kide sortzaileen artean daude.

"Sigstore-k iturburu irekiko komunitate guztiei bere softwarea sinatzeko aukera ematen die eta jatorria, osotasuna eta deskubrimendua konbinatzen ditu software hornidura kate gardena eta egiaztagarria sortzeko", esan du Luke Hindsek, Red Hat CTO bulegoko segurtasun arduradunak. "Lankidetza hau Linux Fundazioan antolatuta, sigstore-n egiten dugun lana azkartu dezakegu eta iturburu irekiko softwarearen eta garapenaren etengabeko adopzioa eta eragina onartzen ditugu".

"Softwarea ezartzeko segurtasuna, uste duguna dugun softwarea exekutatzen ari garela ziurtatzen hasi beharko litzateke. sigstore-k aukera bikaina da iturburu irekiko software hornidura katean konfiantza eta gardentasun handiagoa emateko ", esan du Josh Aasek.

Softwarea hornitzeko kate modernoak arrisku ugari dituela argudiatuta, proiektuak lehendik dauden tresnak direla dio, gakoak sinatzeko jendea aurrez aurre topatzea eta hainbeste denboran ondo funtzionatu dutenak ezin da gehiago lortu gaur egungo ingurunean geografikoki sakabanatuta dauden guneekin.

Gainera, hori aipatzen da oso gutxi dira software bertsioko objektuak kriptografikoki sinatzen dituzten kode irekiko proiektuak. Hau da, neurri handi batean, softwarearen mantentzaileek gakoen kudeaketan, gakoen konpromisoak, errebokazioa eta gako publikoen eta hash artefaktuen banaketan dituzten erronkak. Horrek esan nahi du erabiltzaileek zein gako fidatu behar duten jakin behar dutela eta sinadura balioztatzeko beharrezkoak diren urratsak ikasi behar dituztela.

“Sigstore-k kode irekiko softwarearen bertsio guztiak egiaztagarriak izatea eta erabiltzaileek egiaztapena erraztea du helburu. Zorionez, hau vim-etik irtetea bezain erraza egin dezakegu ", esan du Dan Lorenc-ek, Google-ko Open Source Software Security taldeko taldeko ingeniariak. 

Beste arazo bat da nola banatzen diren hashesak eta gako publikoak: sarritan pirata daitezkeen webguneetan edo git biltegi publiko batean dagoen README fitxategi batean gordetzen dira.

SigStore-k arazo horiei aurre egin nahi die iraupen laburreko gako iragankorrak erabiliz, gardentasun publikoaren erregistro ireki eta egiaztagarri batetik ateratako konfiantza sustraiarekin. Zerbitzu berriak softwarearen jatorria eta benetakotasuna ulertzen eta baieztatzen lagunduko die garatzaileei eta erabiltzaileei, gutxieneko gastu orokorrarekin.

“Oso pozik nago sigstore bezalako sistema batekin. Softwarearen ekosistemak premiazko sistema hori behar du hornikuntza katearen egoeraren berri emateko. Nik uste dut sigstore-rekin, software iturriei eta jabetzari buruzko galdera guztiak erantzuten dituena, has gaitezkeela software helmugei, kontsumitzaileei, betetzeari (legezkoak eta bestelakoak) buruzko galderak egiten, sare kriminalak identifikatzeko eta software azpiegitura kritikoak segurtatzeko. ”, Esan du Santiago Torres-Ariasek.

 


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.