Sigstore: Projekt za poboljšanje lanca opskrbe otvorenog koda

Linux Post Install

7 minuta

Sigstore: Projekt za poboljšanje lanca opskrbe otvorenog koda

Sigstore: Projekt za poboljšanje lanca opskrbe otvorenog koda

Danas ćemo razgovarati o "Sigstore". Jedan od mnogih, besplatni i otvoreni projekti pod paskom Linux Foundation.

"Sigstore" To je u osnovi projekt stvoren za pružanje usluge javnog dobra, neprofitne, za poboljšati lanac opskrbe de softver otvorenog koda olakšavanje usvajanja kriptografskog potpisa softvera potpomognutog tehnologijama registracije transparentnosti.

Automobilski razred Linux

"Sigstore", Nije jedini Projekt Linux Foundation o čemu smo govorili u prethodnim prilikama. Još je jedan od njih bio Automobilski razred Linux, koju u to vrijeme opisujemo na sljedeći način:

"Automotive Grade (Quality) Linux je suradnički projekt otvorenog koda koji okuplja proizvođače automobila, dobavljače i tehnološke tvrtke kako bi ubrzao razvoj i usvajanje potpuno otvorenog softverskog snopa za automobil budućnosti. S Linuxom u svojoj osnovi, AGL od temelja razvija otvorenu platformu koja može služiti kao de facto industrijski standard koji omogućuje brzi razvoj novih značajki i tehnologija." Linux Foundation: prisutno na Sajmu potrošačke elektronike 2020

Linux Foundation: prisutno na Sajmu potrošačke elektronike 2020
Povezani članak:
Linux Foundation: prisutno na Sajmu potrošačke elektronike 2020
 Automobilski razred Linux
Povezani članak:
Linux kreće na put zahvaljujući Automotive Grade Linuxu

Kasnije ćemo se u budućim publikacijama pozabaviti i drugim projektima, ali oni koji žele neke od njih sami istražiti mogu to učiniti putem sljedeće poveznice: Projekti zaklade Linux.

Sigstore: Projekt zaklade Linux

Sigstore: Projekt zaklade Linux

Što je Sigstore?

Prema njemu samom Službena web stranica tvrtke Sigstore, isto je:

"Projekt stvoren s ciljem pružanja neprofitne javne usluge za poboljšanje lanca opskrbe softvera otvorenog koda olakšavanjem usvajanja kriptografskog potpisa softvera, podržanog tehnologijama registracije transparentnosti. Osim toga, pokušava osposobiti programere za sigurno potpisivanje softverskih artefakata kao što su datoteke izdanja, slike spremnika, binarne datoteke, manifesti prijedloga materijala i još mnogo toga."

Uz to, ovaj projekt nastoji osigurati da:

"Potpisani materijali pohranjeni su u javnu evidenciju protiv neovlaštenog čuvanja podataka."

Zašto je Sigstore važan?

Ovaj projekt, njegovi alati i članovi nastoje izbjeći «napadi na lanac opskrbe softverom », kao što je, što se dogodilo s SolarWinds i drugi dobro poznati u novije vrijeme.

"Microsoft je rekao da su hakeri kompromitirali softver za nadzor i upravljanje tvrtke Orion tvrtke SolarWinds, dopuštajući im da se lažno predstavljaju kao svi postojeći korisnici i računi u organizaciji, uključujući visoko privilegirane račune. Kaže se da je Rusija iskoristila slojeve opskrbnog lanca za pristup sustavima vladinih agencija."

Povezani članak:
Hack SolarWindsa mogao bi biti puno gori nego što se očekivalo

Neka vas razumije «napad na lanac opskrbe softverom » na čin kojim, Haker ubacuje zlonamjerni kôd u legitimni softver da bi ga širio svugdje.

Dakle, besplatni / otvoreni projekti koji su besplatni i jednostavni za provedbu, poput "Sigstore" oni su sve potrebniji u naše doba.

Kako spriječiti napade na lanac opskrbe softverom?

Iako smo u drugim prigodama ponudili nekoliko korisnih savjeta o informacijskoj sigurnosti, praktičnih za svakoga i u bilo koje vrijeme ili situaciju, sljedeći su savjeti izravno usredotočeni na ublažavanje ove vrste napada što je više moguće:

Savjeti za računalnu sigurnost za svakoga u bilo kojem trenutku
Povezani članak:
Savjeti za računalnu sigurnost za svakoga bilo kad i bilo gdje
  1. Održavajte popis svih vlastitih i nezavisnih softverskih alata, besplatnih i otvorenih te vlasničkih i zatvorenih koji se koriste.
  2. Budite pažljivi na poznate i buduće ranjivosti svih korištenih aplikacija i sustava kako biste što prije primijenili zakrpe koje su službeno dostupne.
  3. Budite informirani o otkrivenim kršenjima ili izvedenim napadima vlastitih i nezavisnih dobavljača softvera kako biste na ove načine izbjegli neočekivana iznenađenja.
  4. Uklonite u najkraćem mogućem roku one sustave, usluge i protokole koji mogu biti suvišni (nepotrebni) ili zastarjeli (neiskorišteni).
  5. Planirajte i implementirajte zajedničke strategije i sigurnosne zahtjeve sa svojim dobavljačima softvera kako biste umanjili IT rizik od njih i vlastitih sigurnosnih procesa.
  6. Pokrenite redovite revizije koda. I održavajte ažurirane sigurnosne preglede i postupke kontrole promjena, potrebne za svaku komponentu koda stvorenog ili korištenog.
  7. Izvršite rutinske testove penetracije kako biste identificirali potencijalne opasnosti na svojoj računalnoj platformi.
  8. Provedite sigurnosne mjere IT-a kao što su kontrole pristupa i dvostruka provjera autentičnosti (2FA) kako biste zaštitili procese razvoja softvera.
  9. Pokrenite sigurnosni softver s više slojeva zaštite. Pogotovo protiv upada, virusa i rasomwarea, tako uobičajenih u današnje vrijeme.
  10. Redovito ažurirajte svoje sigurnosne kopije ili rezervni plan sigurno održavajte vitalne podatke svojih aplikacija, sustava i aktivnosti (procesa) i budite u mogućnosti oporaviti bilo koji od njih, u najkraćem mogućem roku.

Više o Sigstoreu

Više o sigstore

Konačno, programeri "Sigstore" oni malo objašnjavaju rad ovog projekta na sljedeći način:

"sigstore koristi postojeće x509 PKI tehnologije i registre transparentnosti. Korisnici generiraju kratkotrajne efemerne parove ključeva pomoću alata klijenta sigstore. Usluga sigstore PKI tada će pružiti certifikat za potpisivanje generiran nakon uspješnog odobrenja za OpenID povezivanje. Svi se certifikati bilježe u registar transparentnosti certifikata, a materijali za potpisivanje softvera dostavljaju se u registar transparentnosti potpisa."

Više o Sigstoreu

"Korištenje zapisa o transparentnosti uvodi korijen povjerenja u korisnički OpenID račun. Stoga možemo imati garancije da je prijavljeni korisnik imao kontrolu nad računom davatelja usluga identiteta u vrijeme potpisivanja. Nakon što je operacija potpisivanja završena, ključevi se mogu odbaciti, eliminirajući potrebu za dodatnim upravljanjem ključem ili potrebu za opozivom ili rotacijom."

Za više informacija o "Sigstore" možete posjetiti svoj službeno web mjesto na GitHubu i Javnost zajednice (grupe) na Google.

Sažetak: Razne publikacije

Rezime

Nadamo se ovome "koristan mali post" na  «Sigstore», zanimljiv i koristan projekt Linux Foundationkoji je a usluga transparentnosti i potpis softvera javno dobro i neprofitna organizacija, stvorena za poboljšati lanac opskrbe softver otvorenog koda; je od velikog interesa i korisnosti, u cjelini «Comunidad de Software Libre y Código Abierto» i od velikog doprinosa širenju divnog, gigantskog i rastućeg ekosustava aplikacija «GNU/Linux».

Za sada, ako vam se ovo svidjelo publicación, Nemoj stati podijeli s drugima na vašim omiljenim web mjestima, kanalima, skupinama ili zajednicama društvenih mreža ili sustava za razmjenu poruka, po mogućnosti besplatno, otvoreno i / ili sigurnije kao TelegramSignalMastodont ili neki drugi od Fediverse, po mogućnosti.

I ne zaboravite posjetiti našu početnu stranicu na «DesdeLinux» istražiti još vijesti, kao i pridružiti se našem službenom kanalu Telegram od DesdeLinuxIako, za više informacija, možete posjetiti bilo koji Internetska knjižnica kao OpenLibra y jedit, za pristup i čitanje digitalnih knjiga (PDF-ova) o ovoj temi ili drugima.


Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.