Sigstore: Projekt a nyílt forráskódú ellátási lánc fejlesztésére
Ma erről fogunk beszélni "Sigstore". A sok közül az egyik ingyenes és nyílt projektek a. gondozásában Linux Alapítvány.
"Sigstore" Alapvetően egy nonprofit közjó szolgáltatás nyújtására létrehozott projekt az ellátási lánc javítása de nyílt forráskódú szoftver az átláthatósági nyilvántartási technológiákkal támogatott szoftveres kriptográfiai aláírás elfogadásának megkönnyítése.
"Sigstore", Nem ez az egyetlen Linux Foundation projekt amiről az előző alkalmakkor beszéltünk. Egy másik közülük Automotive Grade Linux, amelyet akkor a következőképpen írtunk le:
"Automotive Grade (Quality) Linux egy nyílt forráskódú együttműködési projekt, amely összehozza az autógyártókat, az eladókat és a technológiai vállalatokat, hogy felgyorsítsák a jövő autójának teljesen nyitott szoftvercsomagjának fejlesztését és bevezetését. Mivel a Linux áll a középpontjában, az AGL alapjaitól kezdve nyitott platformot fejleszt, amely de facto ipari szabványként szolgálhat az új funkciók és technológiák gyors fejlesztése érdekében." Linux Foundation: Jelen van a Consumer Electronics Show 2020-on
Később, a jövőben megjelenő kiadványokban más projektekkel is foglalkozunk, de azok számára, akik szeretnének maguk közül néhányat felfedezni, ezt a következő linken keresztül tehetik meg: Linux Foundation projektek.
Sigstore: A Linux Foundation projektje
Mi a Sigstore?
Saját maga szerint A Sigstore hivatalos weboldala, ugyanaz:
"Egy projekt, amelynek célja nonprofit közcélú szolgáltatás nyújtása a nyílt forráskódú szoftver-ellátási lánc fejlesztése érdekében az átláthatósági nyilvántartási technológiák által támogatott szoftveres kriptográfiai aláírás elfogadásának megkönnyítésével. Ezenkívül megpróbálja a szoftverfejlesztőket arra oktatni, hogy biztonságosan írják alá a szoftvertermékeket, például kiadási fájlokat, tárolóképeket, bináris fájlokat, anyagjegyzékeket és még sok mást."
Ezenkívül a projekt arra törekszik, hogy:
"Az aláírt anyagokat hamisításbiztos nyilvános nyilvántartásban tárolják."
Miért fontos a Sigstore?
Ez a projekt, annak eszközei és tagjai igyekeznek elkerülni «támadások a szoftverellátási lánc ellen », például, hogy mi történt SolarWinds és mások a közelmúltban jól ismertek.
"A Microsoft szerint a hackerek megsértették a SolarWinds Orion felügyeleti és felügyeleti szoftverét, lehetővé téve számukra, hogy megszemélyesítsék a szervezet minden meglévő felhasználóját és fiókját, beleértve a kiemelt jogosultságú fiókokat is. Oroszország állítólag kihasználta az ellátási lánc egyes rétegeit a kormányzati ügynökségi rendszerek elérése érdekében."
Értsd meg «támadás a szoftverellátási lánc ellen » arra a cselekedetre, amellyel Egy hacker rosszindulatú kódot illeszt be törvényes szoftverbe, hogy azt mindenhol elterjessze.
Ezért ingyenes / nyitott projektek, amelyek ingyenesek és könnyen megvalósíthatók, mint pl "Sigstore" napjainkban egyre nagyobb szükség van rájuk.
Hogyan lehet megakadályozni a szoftver-ellátási láncot ért támadásokat?
Bár más esetekben hasznos információbiztonsági tanácsokat kínáltunk, mindenki számára praktikusak, bármikor és bármilyen helyzetben, a következő tippek közvetlenül az ilyen típusú támadások lehető legnagyobb mértékű enyhítésére összpontosítanak:
- Készítsen nyilvántartást minden saját és harmadik féltől származó, ingyenes és nyitott, valamint saját és zárt szoftvereszközről.
- Legyen tisztában az összes használt alkalmazás és rendszer ismert és jövőbeni biztonsági réseivel, hogy a hivatalosan elérhető javításokat a lehető leghamarabb alkalmazhassa.
- Legyen tájékozott a feltárt jogsértésekről vagy végrehajtott támadásokról saját és harmadik féltől származó szoftverszolgáltatók felé, hogy elkerülje az ilyen módon bekövetkező váratlan meglepetéseket.
- A lehető legrövidebb időn belül szüntesse meg azokat a rendszereket, szolgáltatásokat és protokollokat, amelyek feleslegesek (feleslegesek) vagy elavultak (nem használtak) lehetnek.
- Tervezzen és hajtson végre közös stratégiákat és biztonsági követelményeket a szoftver szolgáltatóival, hogy minimalizálja az azokból eredő informatikai kockázatokat és a saját biztonsági folyamatait.
- Futtasson rendszeres kódellenőrzéseket. És folyamatosan frissítse a biztonsági ellenőrzéseket és a változtatások vezérlési eljárásait, amelyek szükségesek a létrehozott vagy használt kód minden egyes eleméhez.
- Hajtson végre rutin penetrációs teszteket a potenciális veszélyek azonosítására a számítógépes platformján.
- Végezze el az informatikai biztonsági intézkedéseket, például a hozzáférés-vezérlést és a kétfaktoros hitelesítést (2FA) a szoftverfejlesztési folyamatok védelme érdekében.
- Futtassa a biztonsági szoftvert több védelmi réteggel. Különösen a manapság oly gyakran előforduló behatolások, vírusok és razmárok ellen.
- Tartsa naprakészen a biztonsági mentési vagy készenléti tervét annak érdekében, hogy biztonságosan fenntartsa alkalmazásai, rendszerei és tevékenységei (folyamatai) létfontosságú adatait, és képes legyen bármelyiket a lehető legrövidebb időn belül helyreállítani.
További információ sigstore
Végül a "Sigstore" a következőképpen magyarázzák kicsit a projekt működését:
"sigstore kihasználja a meglévő x509 PKI technológiákat és átláthatósági nyilvántartásokat. A felhasználók rövid életű rövid ideig tartó kulcspárokat generálnak a sigstore kliens eszközök segítségével. A sigstore PKI szolgáltatás ezután megadja az aláírási tanúsítványt, amelyet a sikeres OpenID csatlakozási engedély után hoztak létre. Az összes tanúsítványt egy tanúsítvány-átláthatósági nyilvántartás rögzíti, és a szoftver-aláíró anyagokat az aláírás-átláthatóság-nyilvántartásba küldi."
"Az átláthatósági rekordok használata a bizalom gyökerét vezeti be a felhasználó OpenID-fiókjában. Így garantálhatjuk, hogy az igényelt felhasználó az aláíráskor az identitásszolgáltató számláját irányította. Az aláírási művelet befejezése után a kulcsok eldobhatók, így nincs szükség további kulcskezelésre, illetve visszavonásra vagy forgatásra."
További információ a "Sigstore" meglátogathatja a hivatalos honlapja a GitHub-on és Közösségi (csoportos) nyilvánosság tovább Google.
Összegzés
Reméljük ezt "hasznos kis bejegyzés" tovább «Sigstore», egy érdekes és hasznos projekt a Linux Alapítványami egy átláthatósági szolgáltatás és szoftveraláírás érdekében létrehozott közjó és nonprofit szervezet az ellátási lánc javítása nyílt forráskódú szoftver; nagy érdeklődés és hasznosság az egész számára «Comunidad de Software Libre y Código Abierto» és nagyban hozzájárulnak a CSB csodálatos, gigantikus és növekvő ökoszisztémájának elterjedéséhez «GNU/Linux».
Egyelőre, ha ez tetszett publicación, Ne hagyd abba ossza meg másokkal, kedvenc webhelyein, csatornáin, közösségi hálózatok vagy üzenetküldő rendszerek csoportjain vagy közösségén, lehetőleg ingyenesen, nyíltan és / vagy biztonságosabb módon Telegram, Jel, Masztodon vagy egy másik Fediverse, lehetőleg.
És ne felejtsen el ellátogatni a honlapunkra a címen «DesdeLinux» további hírek felfedezéséhez, valamint csatlakozáshoz a Távirata DesdeLinux. Míg további információkért látogasson el bármelyikre Online könyvtár mint OpenLibra y jEdit, hogy hozzáférhessen és olvashasson erről a témáról vagy másokról szóló digitális könyveket (PDF).