Sigstore: proxecto para mellorar a cadea de subministración de código aberto

Sigstore: proxecto para mellorar a cadea de subministración de código aberto

Sigstore: proxecto para mellorar a cadea de subministración de código aberto

Hoxe falaremos de "Sigstore". Un dos moitos, dos proxectos libres e abertos baixo a tutela do Fundación Linux.

"Sigstore" Basicamente é un proxecto creado para ofrecer un servizo público sen ánimo de lucro mellorar a cadea de subministración de software de código aberto facilitando a adopción de sinatura criptográfica de software apoiada por tecnoloxías de rexistro de transparencia.

Linux para automoción

"Sigstore", Non é o único Proxecto Linux Foundation do que xa falamos en anteriores ocasións. Outro deles foi Linux para automoción, que entón describimos como segue:

"Automotive Grade (Quality) Linux é un proxecto colaborativo de código aberto que reúne a fabricantes de automóbiles, vendedores e empresas tecnolóxicas para acelerar o desenvolvemento e adopción dunha pila de software totalmente aberta para o coche do futuro. Con Linux no seu núcleo, AGL está a desenvolver unha plataforma aberta desde o principio que pode servir como o estándar da industria de facto para permitir o rápido desenvolvemento de novas funcións e tecnoloxías." Fundación Linux: presente no Consumer Electronics Show 2020

Fundación Linux: presente no Consumer Electronics Show 2020
Artigo relacionado:
Fundación Linux: presente no Consumer Electronics Show 2020

Linux para automoción
Artigo relacionado:
Linux sae á rúa grazas a Automotive Grade Linux

Máis tarde, en futuras publicacións abordaremos outros proxectos, pero para aqueles que desexen explorar algúns deles por si mesmos, poden facelo a través do seguinte enlace: Proxectos da Fundación Linux.

Sigstore: un proxecto da Fundación Linux

Sigstore: un proxecto da Fundación Linux

Que é Sigstore?

Segundo el mesmo Sitio web oficial de Sigstore, o mesmo é:

"Un proxecto creado co obxectivo de proporcionar un servizo público sen ánimo de lucro para mellorar a cadea de subministración de software de código aberto facilitando a adopción da sinatura criptográfica de software, apoiada por tecnoloxías de rexistro de transparencia. Ademais, intenta adestrar aos desenvolvedores de software para asinar de forma segura artefactos de software como ficheiros de lanzamento, imaxes de contedores, binarios, manifestos de factura de materiais e moito máis."

Ademais, este proxecto busca garantir que:

"Os materiais asinados gárdanse nun rexistro público a proba de manipulacións."

Por que é importante Sigstore?

Este proxecto, as súas ferramentas e membros, busca evitar «ataques á cadea de subministración de software », como, o que pasou con SolarWinds e outros moi coñecidos nos últimos tempos.

"Microsoft dixo que os piratas informáticos comprometían o software de control e xestión de SolarWinds Orion, o que lles permitía suplantar a calquera usuario e conta existentes na organización, incluídas contas altamente privilexiadas. Dise que Rusia explotou capas da cadea de subministración para acceder aos sistemas de axencias gobernamentais."

Artigo relacionado:
O hack de SolarWinds podería ser moito peor do esperado

Que se entenda por «ataque á cadea de subministración de software » ao acto polo cal, Un hacker insire código malicioso nun software lexítimo para difundilo por todas partes.

Por iso, proxectos gratuítos / abertos gratuítos e fáciles de implementar, como "Sigstore" son cada vez máis necesarios nos nosos días.

Como evitar ataques á cadea de subministración de software?

Aínda que, noutras ocasións, ofrecemos algúns consellos útiles de seguridade da información, prácticos para todos e en calquera momento ou situación, os seguintes consellos céntranse directamente na mitigación deste tipo de ataques na medida do posible:

Consellos de seguridade informática para todos en calquera momento
Artigo relacionado:
Consellos de seguridade informática para todos en calquera momento e en calquera lugar
  1. Manter un inventario de todas as ferramentas de software propias e de terceiros, gratuítas e abertas, e privadas e pechadas, que se usan.
  2. Estea atento ás vulnerabilidades coñecidas e futuras, de todas as aplicacións e sistemas empregados, para aplicar canto antes os parches dispoñibles oficialmente.
  3. Mantéñase informado sobre as violacións detectadas ou ataques realizados, a provedores de software propios e alleos, para evitar sorpresas inesperadas destas formas.
  4. Elimine no menor tempo posible aqueles sistemas, servizos e protocolos que poidan ser redundantes (innecesarios) ou obsoletos (non utilizados).
  5. Planifique e implemente estratexias conxuntas e requisitos de seguridade cos seus provedores de software para minimizar o risco de TI deles e dos seus propios procesos de seguridade.
  6. Realizar auditorías de código regularmente. E manteña as revisións de seguridade actualizadas e os procedementos de control de cambios necesarios para cada compoñente do código creado ou usado.
  7. Realice probas de penetración rutineiras para identificar os perigos potenciais na súa plataforma informática.
  8. Implementar medidas de seguridade de TI como controis de acceso e autenticación de dobre factor (2FA) para protexer os procesos de desenvolvemento de software.
  9. Executa software de seguridade con varias capas de protección. Especialmente contra intromisións, virus e rasomwares, tan comúns nestes días.
  10. Mantén actualizado o teu plan de copia de seguridade ou de emerxencia para poder manteña con seguridade os datos vitais das súas aplicacións, sistemas e actividades (procesos) e poida recuperar calquera deles no menor tempo posible.

Máis información sobre Sigstore

Máis sobre sigstore

Finalmente, os desenvolvedores de "Sigstore" explican un pouco o funcionamento deste proxecto do seguinte xeito:

"sigstore aproveita as tecnoloxías PKI x509 existentes e os rexistros de transparencia. Os usuarios xeran pares de claves efémeras de curta duración empregando as ferramentas do cliente sigstore. O servizo PKI sigstore proporcionará un certificado de sinatura xerado despois dunha concesión de conexión OpenID exitosa. Todos os certificados rexístranse nun rexistro de transparencia de certificados e os materiais de sinatura de software envíanse a un rexistro de transparencia de sinaturas."

Máis información sobre Sigstore

"O uso de rexistros de transparencia introduce unha raíz de confianza na conta OpenID do usuario. Así, podemos ter garantías de que o usuario reclamado controlaba a conta dun provedor de servizos de identidade no momento da sinatura. Unha vez completada a operación de sinatura, as claves poden descartarse, eliminando calquera necesidade de xestión de claves adicional ou a necesidade de revogación ou rotación."

Para máis información sobre "Sigstore" podes visitar o teu páxina web oficial en GitHub e Comunidade (grupo) pública en Google.

Resumo: varias publicacións

Resumo

Agardamos isto "pequena publicación útil" en  «Sigstore», un interesante e útil proxecto do Fundación Linuxque é un servizo de transparencia e sinatura de software ben público e sen ánimo de lucro, creado para mellorar a cadea de subministración software de código aberto; é de gran interese e utilidade para o conxunto «Comunidad de Software Libre y Código Abierto» e de gran contribución á difusión do marabilloso, xigantesco e crecente ecosistema de aplicacións de «GNU/Linux».

De momento, se che gustou isto publicación, Non parar compartilo con outros, nos teus sitios web, canles, grupos ou comunidades de redes sociais ou sistemas de mensaxería favoritos, preferentemente gratuítos, abertos e / ou máis seguros como TelegramaSinalizarMastodon ou outro de Fediverse, preferentemente.

E recorda visitar a nosa páxina de inicio en «Desde Linux» para explorar máis novas, así como unirse á nosa canle oficial de Telegrama de DesdeLinuxMentres, para obter máis información, podes visitar calquera Biblioteca en liña como OpenLibra y jedit, para acceder e ler libros dixitais (PDF) sobre este tema ou outros.


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado.

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.