Sigstore, besplatna usluga za provjeru podrijetla i autentičnosti softvera

U nastojanju da osigura lanac opskrbe besplatnim softverom, Linux Foundation (neprofitna organizacija koja njeguje inovacije putem otvorenog koda) udružio se s Red Hatom, Googleom i Sveučilištem Purdue radi pokretanja novi projekt koji pomaže programerima da lako usvoje kriptografski potpis u softveru.

ovo novi projekt je podržan rekordnim tehnologijama transparentnosti, jer sve veća industrijska stopa usvajanja softvera otvorenog koda, projekt, Sigstore ima za cilj spriječiti napad na javno spremište softvera od ubrizgavanja kvarnog koda u opskrbni lanac.

sigstore omogućit će programerima da se sigurno potpišu softverski artefakti poput datoteka verzija, slika spremnika i binarnih datoteka. Spominje se da se potpisani predmeti pohranjuju u neovlašteni javni časopis.

SigStore nastoji omogućiti programerima da razumiju i potvrde podrijetlo i autentičnost softvera koji se temelji na često različitom skupu pristupa i formatima podataka. Postojeća rješenja često se temelje na "sažetcima" (hash ili rezultati hash funkcije) pohranjenim na nesigurnim sustavima, koji mogu biti oštećeni i dovesti do različitih napada, kao što su hash exchange ili hash funkcija, napadi usmjereni protiv korisnika.

Korištenje usluge bit će besplatan za sve programere i dobavljače softvera, a zajednica SigStore razvit će kôd i operativne alate za sigstore. Red Hat, Google i Sveučilište Purdue među osnivačima su projekta.

"Sigstore omogućuje svim zajednicama otvorenog koda da potpišu svoj softver i kombinira porijeklo, integritet i mogućnost otkrivanja kako bi stvorio transparentan i provjerljiv lanac opskrbe softverom", rekao je Luke Hinds, glavni sigurnosni službenik, ured HTO-a Red Hat-a. "Domaćinom ove suradnje u Linux Foundation, možemo ubrzati naš rad na sigstoreu i podržati kontinuirano usvajanje i utjecaj softvera i razvoja otvorenog koda."

„Osiguravanje implementacije softvera trebalo bi započeti osiguravanjem da pokrećemo softver za koji mislimo da ga imamo. Sigstore predstavlja izvrsnu priliku za unošenje više povjerenja i transparentnosti u lanac opskrbe softvera otvorenog koda ”, rekao je Josh Aas,

Tvrdeći da je moderni lanac opskrbe softverom izložen višestrukim rizicima, projekt kaže da postojeći alati, koji uključuju ljude koji se osobno sastaju radi potpisivanja ključeva i koji su toliko dugo radili, više se ne može postići u današnjem okruženju s geografski rasprostranjenim područjima.

Također, spominje se da vrlo je malo projekata otvorenog koda koji kriptografski potpisuju artefakte verzije softvera. To je uglavnom zbog izazova s ​​kojima se održavači softvera suočavaju u upravljanju ključevima, kompromisima ključeva, opozivu i distribuciji javnih ključeva i hash artefakata. To znači da korisnici moraju shvatiti kojim ključevima vjerovati i naučiti korake potrebne za provjeru valjanosti potpisa.

„Sigstore želi učiniti sve verzije softvera otvorenog koda provjerljivima i olakšati provjeru korisnicima. Nadamo se da ćemo ovo učiniti jednostavnim poput izlaska iz vima ”, rekao je Dan Lorenc, softverski inženjer u Googleovom timu za sigurnost softvera otvorenog koda. 

Drugi je problem način na koji se distribuiraju hashovi i javni ključevi - oni se često spremaju na potencijalno hakirane web stranice ili u README datoteku koja se nalazi u javnom git spremištu.

SigStore pokušava riješiti ove probleme korištenjem kratkotrajnih efemernih ključeva s korijenom povjerenja iz otvorenog i provjerljivog javnog registra transparentnosti. Nova usluga pomoći će programerima i korisnicima da razumiju i potvrde podrijetlo i autentičnost softvera, uz minimalne troškove.

“Jako sam uzbuđen zbog sustava poput sigstore. Softverski ekosustav hitno treba takav sustav za izvještavanje o stanju opskrbnog lanca. Mislim da sa sigstoreom, koji odgovara na sva pitanja o izvorima softvera i vlasništvu, možemo početi postavljati pitanja o softverskim destinacijama, potrošačima, poštivanju zakonskih i drugih propisa, kako bismo identificirali kriminalne mreže i osigurali kritične softverske infrastrukture. ”, Rekao je Santiago Torres-Arias

 


Sadržaj članka pridržava se naših načela urednička etika. Da biste prijavili pogrešku, kliknite ovdje.

Budite prvi koji će komentirati

Ostavite svoj komentar

Vaša email adresa neće biti objavljen.

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

bool (istina)