Sigstore: Hanke avoimen lähdekoodin toimitusketjun parantamiseksi
Tänään puhumme "Sigstore". Yksi monista, ilmaiset ja avoimet projektit holhous n Linux-säätiö.
"Sigstore" Se on pohjimmiltaan projekti, joka on luotu voittoa tavoittelemattoman yleishyödyllisen palvelun tarjoamiseksi parantaa toimitusketjua de avoimen lähdekoodin ohjelmisto helpottaa ohjelmistojen salauksen allekirjoituksen käyttöönottoa, jota tukee läpinäkyvä rekisteröintitekniikka.
"Sigstore", Se ei ole ainoa Linux Foundation -projekti josta olemme puhuneet edellisissä tilaisuuksissa. Toinen heistä on ollut Automotive Grade Linux, jota kuvaamme tuolloin seuraavasti:
"Automotive Grade (Quality) Linux on avoimen lähdekoodin yhteistyöhanke, joka kokoaa yhteen autovalmistajia, myyjiä ja teknologiayrityksiä nopeuttamaan tulevaisuuden auton täysin avoimen ohjelmistopinon kehittämistä ja käyttöönottoa. Linuxin ytimessä AGL kehittää alusta alkaen avointa alustaa, joka voi toimia tosiasiallisena teollisuuden standardina uusien ominaisuuksien ja tekniikoiden nopean kehityksen mahdollistamiseksi." Linux Foundation: Esillä Consumer Electronics Show 2020 -messuilla
Myöhemmin tulevissa julkaisuissa käsittelemme muita hankkeita, mutta niille, jotka haluavat tutkia joitain niistä itse, he voivat tehdä sen seuraavan linkin kautta: Linux Foundation -hankkeet.
Sigstore: Linux-säätiön projekti
Mikä on Sigstore?
Hänen mukaansa Sigstoren virallinen verkkosivusto, sama on:
"Hanke, jonka tarkoituksena on tarjota voittoa tavoittelematon yleishyödyllinen palvelu avoimen lähdekoodin ohjelmistojen toimitusketjun parantamiseksi helpottamalla ohjelmiston salauksen allekirjoituksen käyttöönottoa, jota tukee läpinäkyvä rekisteröintitekniikka. Lisäksi se yrittää kouluttaa ohjelmistokehittäjiä allekirjoittamaan turvallisesti ohjelmistoesineitä, kuten julkaisutiedostot, konttikuvat, binaaritiedostot, materiaaliluettelot ja paljon muuta."
Lisäksi tällä hankkeella pyritään varmistamaan, että:
"Allekirjoitetut materiaalit tallennetaan väärinkäytön estävään julkiseen tietueeseen."
Miksi Sigstore on tärkeä?
Tätä hanketta, sen työkaluja ja jäseniä pyritään välttämään «hyökkäykset ohjelmistojen toimitusketjuun », kuten mitä tapahtui SolarWinds ja muut viime aikoina tunnetut.
"Microsoftin mukaan hakkerit vaarantivat SolarWindsin Orion-seuranta- ja hallintaohjelmistot, jolloin he voivat esiintyä organisaation olemassa olevina käyttäjinä ja tileinä, mukaan lukien erittäin etuoikeutetut tilit. Venäjän sanotaan hyödynneen toimitusketjun kerroksia päästäkseen valtion virastojärjestelmiin."
Ymmärrettävä «hyökkäys ohjelmistojen toimitusketjuun » teolle, jolla Hakkeri lisää haitallisen koodin laillisiin ohjelmistoihin levittääksesi sitä kaikkialle.
Siksi ilmaiset / avoimet projektit, jotka ovat ilmaisia ja helposti toteutettavissa, kuten "Sigstore" niitä tarvitaan yhä enemmän meidän aikanamme.
Kuinka estää ohjelmistojen toimitusketjuun kohdistuvat hyökkäykset?
Vaikka muissakin tilanteissa olemme tarjonneet hyödyllisiä tietoturvaohjeita, jotka ovat käytännöllisiä kaikille ja milloin tahansa tai milloin tahansa, seuraavat vinkit keskittyvät suoraan tämäntyyppisten hyökkäysten lieventämiseen mahdollisimman paljon:
- Pidä luetteloa kaikista käytetyistä omista ja kolmansien osapuolten ohjelmistotyökaluista, sekä ilmaisista että avoimista, omistetuista ja suljetuista.
- Ole tarkkaavainen kaikkien käytettyjen sovellusten ja järjestelmien tunnetuille ja tuleville haavoittuvuuksille, jotta voisit käyttää mahdollisimman pian virallisesti saatavilla olevia korjaustiedostoja.
- Pysy ajan tasalla havaituista rikkomuksista tai tehdyistä hyökkäyksistä omille ja kolmansien osapuolien ohjelmistotoimittajille, jotta vältät odottamattomat yllätykset tällä tavoin
- Poista mahdollisimman pian ne järjestelmät, palvelut ja protokollat, jotka voivat olla tarpeettomia (vanhentuneita) tai vanhentuneita (käyttämättömiä).
- Suunnittele ja toteuta yhteisiä strategioita ja tietoturvavaatimuksia ohjelmistotoimittajasi kanssa minimoidaksesi niiden aiheuttamat IT-riskit ja omat turvallisuusprosessisi.
- Suorita säännölliset kooditarkastukset. Pidä päivitetyt tietoturvatarkastukset ja muutoksenhallintamenettelyt vaadittuja jokaiselle luodulle tai käytetylle koodin osalle.
- Suorita rutiininomaiset tunkeutumistestit mahdollisten vaarojen tunnistamiseksi tietokonealustallasi.
- Toteuta tietoturvatoimenpiteet, kuten pääsynvalvonta ja kaksivaiheinen todennus (2FA), ohjelmistokehitysprosessien suojaamiseksi.
- Suorita tietoturvaohjelmisto, jossa on useita suojaustasoja. Varsinkin tunkeutumista, viruksia ja rasomwareja vastaan, jotka ovat niin yleisiä nykyään.
- Pidä varmuuskopiointi- tai valmiussuunnitelmasi ajan tasalla ylläpitää turvallisesti sovellusten, järjestelmien ja toimintojen (prosessien) tärkeitä tietoja ja pystyä palauttamaan kaikki niistä mahdollisimman lyhyessä ajassa.
Lisää sigstore
Lopuksi, kehittäjät "Sigstore" he selittävät hieman tämän projektin toimintaa seuraavalla tavalla:
"sigstore hyödyntää olemassa olevia x509 PKI -tekniikoita ja läpinäkyvyysrekistereitä. Käyttäjät tuottavat lyhytaikaisia lyhytaikaisia avainpareja sigstore-asiakasohjelmien avulla. Sigstore PKI -palvelu tarjoaa sitten allekirjoitussertifikaatin, joka on luotu onnistuneen OpenID-yhteyden myöntämisen jälkeen. Kaikki varmenteet tallennetaan varmenteiden läpinäkyvyysrekisteriin ja ohjelmistojen allekirjoitusmateriaalit toimitetaan allekirjoitusten läpinäkyvyysrekisteriin."
"Läpinäkyvyystietueiden käyttö tuo luottamuksen juuren käyttäjän OpenID-tiliin. Siten voimme taata, että vaatimuksen kohteena oleva käyttäjä hallitsi henkilöllisyyspalvelun tarjoajan tiliä allekirjoituksen yhteydessä. Kun allekirjoitustoiminto on valmis, avaimet voidaan hylätä, jolloin ylimääräisen avaimen hallinnan tai peruuttamisen tai kiertämisen tarve ei ole tarpeen."
Lisätietoja aiheesta "Sigstore" voit vierailla virallinen verkkosivusto GitHubissa ja Yhteisö (ryhmä) julkinen päälle Google.
Yhteenveto
Toivomme tämän "hyödyllinen pieni viesti" päälle «Sigstore», mielenkiintoinen ja hyödyllinen projekti Linux-säätiömikä on läpinäkyvyyspalvelu ja ohjelmiston allekirjoitus yleishyödyllinen ja voittoa tavoittelematon, luotu parantaa toimitusketjua avoimen lähdekoodin ohjelmisto; on suurta kiinnostusta ja hyötyä koko «Comunidad de Software Libre y Código Abierto» ja suurella panoksella Nizzan suurenmoisen, jättimäisen ja kasvavan ekosysteemin levittämiseen «GNU/Linux».
Toistaiseksi, jos pidit tästä publicación, Älä lopeta jaa se muiden kanssa suosikkisivustoillasi, kanavillasi, sosiaalisten verkostojen tai viestijärjestelmien ryhmissä tai yhteisöissä, mieluiten ilmaisina, avoimina ja / tai turvallisempina Telegram, signaali, Mastodontti tai jokin muu Fediverse, mieluiten.
Ja muista käydä kotisivullamme osoitteessa «DesdeLinux» tutkia lisää uutisia sekä liittyä viralliseen kanavallemme Sähke lähettäjältä DesdeLinux. Vaikka saat lisätietoja käymällä missä tahansa Verkkokirjasto kuten OpenLibra y jedit, käyttää ja lukea digitaalisia kirjoja (PDF) tästä aiheesta tai muusta.