Sigstore: پروژه بهبود زنجیره تامین منبع باز

Sigstore: پروژه بهبود زنجیره تامین منبع باز

Sigstore: پروژه بهبود زنجیره تامین منبع باز

امروز ، ما در مورد صحبت خواهیم کرد "سیگستور". یکی از بسیاری از پروژه های آزاد و آزاد تحت سرپرستی بنیاد لینوکس.

"سیگستور" این اساساً پروژه ای است که برای ارائه خدمات خوب عمومی غیرانتفاعی ایجاد شده است بهبود زنجیره تامین de نرم افزار منبع باز تسهیل تصویب امضای رمزنگاری نرم افزار با پشتیبانی فناوری های ثبت شفافیت.

خودرو لینوکس درجه

"سیگستور"، این تنها نیست پروژه بنیاد لینوکس که در موارد قبلی در مورد آن صحبت کردیم. یکی دیگر از آنها بوده است خودرو لینوکس درجه، که در آن زمان به شرح زیر توصیف می کنیم:

"Automotive Grade (Quality) لینوکس یک پروژه مشارکتی منبع باز است که در حال جمع آوری خودروسازان ، فروشندگان و شرکت های فناوری برای سرعت بخشیدن به توسعه و استفاده از یک پشته نرم افزار کاملاً باز برای اتومبیل آینده است. با هسته لینوکس ، AGL در حال توسعه یک پلتفرم باز از ابتدا است که می تواند به عنوان استاندارد صنعت برای توسعه سریع ویژگی ها و فن آوری های جدید عمل کند." بنیاد لینوکس: در نمایشگاه الکترونیک مصرفی 2020 حضور دارد

مقاله مرتبط:
بنیاد لینوکس: در نمایشگاه الکترونیک مصرفی 2020 حضور دارد

مقاله مرتبط:
لینوکس به لطف Automotive Grade Linux راهی جاده شد

بعداً ، در نشریات آینده ، ما به پروژه های دیگر خواهیم پرداخت ، اما برای کسانی که مایل هستند برخی از آنها را به تنهایی کشف کنند ، می توانند این کار را از طریق لینک زیر انجام دهند: پروژه های بنیاد لینوکس.

Sigstore: پروژه ای از بنیاد لینوکس

Sigstore: پروژه ای از بنیاد لینوکس

سیگستور چیست؟

به گفته خودش وب سایت رسمی Sigstore، همان است:

"پروژه ای که با هدف ارائه خدمات خوب عمومی غیرانتفاعی برای بهبود زنجیره تامین نرم افزار منبع باز با تسهیل تصویب امضای رمزنگاری نرم افزار و پشتیبانی از فناوری های ثبت شفافیت ایجاد شده است. علاوه بر این ، تلاش می شود توسعه دهندگان نرم افزار برای امضای ایمن مصنوعات نرم افزاری مانند پرونده های انتشار ، تصاویر کانتینر ، باینری ها ، مانیفست مواد و موارد دیگر را آموزش دهد."

علاوه بر این ، این پروژه به دنبال اطمینان از موارد زیر است:

"مواد امضا شده در یک پرونده عمومی ضد دستکاری ذخیره می شود."

چرا Sigstore مهم است؟

این پروژه ، ابزارها و اعضای آن به دنبال جلوگیری از آن است «حمله به زنجیره تامین نرم افزار »، از جمله ، آنچه با آن اتفاق افتاده است SolarWinds و دیگران در این اواخر شناخته شده است.

"مایکروسافت گفت هکرها با نرم افزار نظارت و مدیریت Orion SolarWinds به خطر افتاده و به آنها اجازه می دهند هر کاربر و حساب موجود در سازمان را از جمله حساب های بسیار ممتاز جعل کنند. گفته می شود روسیه برای دسترسی به سیستم های آژانس دولتی از لایه های زنجیره تأمین بهره برداری کرده است."

مقاله مرتبط:
هک SolarWinds می تواند بسیار بدتر از حد انتظار باشد

توسط درک شود «حمله به زنجیره تامین نرم افزار » به عملی که یک هکر کد مخرب را در نرم افزار قانونی وارد می کند تا آن را در همه جا پخش کند.

از این رو ، پروژه های آزاد / آزاد که رایگان و آسان برای اجرا هستند ، مانند "سیگستور" آنها در روز ما به طور فزاینده ای ضروری هستند.

چگونه می توان از حمله به زنجیره تامین نرم افزار جلوگیری کرد؟

اگرچه ، در موارد دیگر ، ما برخی از توصیه های مفید اطلاعات امنیتی ، عملی برای همه و در هر زمان و موقعیتی ارائه داده ایم ، اما نکات زیر مستقیماً بر کاهش هرچه بیشتر این نوع حمله متمرکز است:

مقاله مرتبط:
نکات امنیتی رایانه برای همه افراد در هر زمان و هر مکان
  1. از تمام ابزارهای نرم افزاری شخصی و شخص ثالث ، رایگان و آزاد و اختصاصی و بسته ، که موجودی هستند استفاده کنید.
  2. نسبت به آسیب پذیری های شناخته شده و آینده ، از کلیه برنامه ها و سیستم های مورد استفاده ، مراقب باشید تا در اسرع وقت وصله هایی که به طور رسمی در دسترس هستند ، اعمال شود.
  3. در مورد نقض یا حملات شناسایی شده ، به مالکان و ارائه دهندگان نرم افزار شخص ثالث ، اطلاع دهید تا از غافلگیری های غیر منتظره در این راه ها جلوگیری کنید.
  4. در کمترین زمان ممکن ، سیستم ها ، سرویس ها و پروتکل هایی را که ممکن است زائد (غیرضروری) یا منسوخ (بدون استفاده) باشند حذف کنید.
  5. استراتژی ها و الزامات امنیتی مشترک را با ارائه دهندگان نرم افزار خود برنامه ریزی و اجرا کنید تا خطر IT را از آنها و فرایندهای امنیتی خود به حداقل برسانید.
  6. ممیزی های کد را به طور منظم انجام دهید. و بررسی های امنیتی به روز شده و روش های کنترل تغییر را که برای هر یک از اجزای کد ایجاد شده یا استفاده شده لازم است ، حفظ کنید.
  7. تست های نفوذ روتین را انجام دهید تا خطرات احتمالی را در سیستم عامل خود شناسایی کنید.
  8. اقدامات امنیتی IT مانند کنترل دسترسی و احراز هویت دو فاکتور (2FA) را برای محافظت از فرایندهای توسعه نرم افزار اجرا کنید.
  9. نرم افزار امنیتی را با چندین لایه محافظت اجرا کنید. به خصوص در برابر نفوذ ، ویروس ها و راسوموارها ، این روزها بسیار رایج است.
  10. برای تهیه نسخه پشتیبان یا برنامه احتمالی ، به روز باشید داده های حیاتی برنامه ها ، سیستم ها و فعالیت های خود (فرآیند ها) را با خیال راحت حفظ کنید و بتوانید در کمترین زمان ممکن هر یک از آنها را بازیابی کنید.

اطلاعات بیشتر در مورد Sigstore

بیشتر در مورد سیگستور

سرانجام ، توسعه دهندگان "سیگستور" آنها کمی عملکرد این پروژه را به روش زیر توضیح می دهند:

"سیگستور از فناوری های موجود x509 PKI و ثبت شفافیت استفاده می کند. کاربران با استفاده از ابزار مشتری سیگستور ، جفت کلید زودگذر کوتاه مدت تولید می کنند. سپس خدمات sigstore PKI گواهی امضای تولید شده پس از اعطای موفقیت آمیز اتصال OpenID را ارائه می دهد. همه گواهینامه ها در رجیستری شفافیت گواهینامه ثبت می شوند و مواد امضای نرم افزار به ثبت شفافیت امضا ارسال می شود."

اطلاعات بیشتر در مورد Sigstore

"استفاده از سوابق شفافیت ریشه اعتماد به حساب OpenID کاربر را ایجاد می کند. بنابراین می توانیم تضمین کنیم که کاربر ادعا شده در هنگام امضا کنترل حساب یک ارائه دهنده خدمات هویت را کنترل کرده است. پس از اتمام عملیات امضا ، می توان کلیدها را کنار گذاشت ، در نتیجه دیگر نیازی به مدیریت کلید اضافی یا لغو یا چرخش نیست."

برای اطلاعات بیشتر در مورد "سیگستور" شما می توانید از خود بازدید کنید وب سایت رسمی در GitHub و جامعه (گروه) عمومی بر گوگل.

خلاصه: نشریات مختلف

خلاصه

ما امیدواریم که این "پست کوچک مفید" بر  «Sigstore»، یک پروژه جالب و مفید از بنیاد لینوکسکه یک خدمات شفافیت و امضای نرم افزار خیر عمومی و غیر انتفاعی ، ایجاد شده برای بهبود زنجیره تامین نرم افزار منبع باز برای کل از علاقه و کاربرد زیادی برخوردار است «Comunidad de Software Libre y Código Abierto» و سهم بزرگی در انتشار اکوسیستم فوق العاده ، غول پیکر و رو به رشد برنامه های کاربردی دارد «GNU/Linux».

در حال حاضر ، اگر این را دوست دارید publicación، متوقف نشو آن را به اشتراک بگذارید با دیگران ، در وب سایت ها ، کانال ها ، گروه ها یا انجمن های مورد علاقه خود در شبکه های اجتماعی یا سیستم های پیام رسانی ، ترجیحاً رایگان ، باز و / یا ایمن تر به عنوان تلگرافسیگنالمادادون یا دیگری از جهان، ترجیحا.

و به یاد داشته باشید که به صفحه اصلی ما در مراجعه کنید «از لینوکس» برای کشف اخبار بیشتر و همچنین عضویت در کانال رسمی ما تلگرام از DesdeLinuxدر حالی که برای کسب اطلاعات بیشتر می توانید به هرکدام مراجعه کنید کتابخانه آنلاین مانند OpenLibra y JedIT, برای دسترسی و مطالعه كتابهای دیجیتال (PDF) با این موضوع یا مطالب دیگر.


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.