Sigstore: Progetto per migliorare la filiera dell'open source

Sigstore: Progetto per migliorare la filiera dell'open source

Oggi ne parleremo "Signor negozio". Uno dei tanti, dei progetti liberi e aperti sotto la tutela del Linux Foundation.

"Signor negozio" È fondamentalmente un progetto nato per fornire un servizio di bene pubblico senza fini di lucro, per migliorare la catena di approvvigionamento de software open source facilitare l'adozione di firme crittografiche software supportate da tecnologie di registrazione per trasparenza.

"Signor negozio", Non è l'unico Progetto Linux Foundation di cui abbiamo parlato in precedenti occasioni. Un altro di loro è stato Linux di livello automobilistico, che all'epoca descriviamo come segue:

"Automotive Grade (Quality) Linux è un progetto collaborativo open source che riunisce case automobilistiche, fornitori e aziende tecnologiche per accelerare lo sviluppo e l'adozione di uno stack software completamente aperto per l'auto del futuro. Con Linux al centro, AGL sta sviluppando da zero una piattaforma aperta che può fungere da standard industriale de facto per consentire il rapido sviluppo di nuove funzionalità e tecnologie." Linux Foundation: presente al Consumer Electronics Show 2020

Articolo correlato:

Linux Foundation: presente al Consumer Electronics Show 2020

Articolo correlato:

Linux si mette in viaggio grazie a Automotive Grade Linux

Più avanti, nelle prossime pubblicazioni ci occuperemo di altri progetti, ma per coloro che desiderano esplorarne alcuni da soli, possono farlo attraverso il seguente link: Progetti della Linux Foundation.

Sigstore: un progetto della Linux Foundation

Cos'è Sigstore?

Secondo lui Sito ufficiale di Sigstore, lo stesso è:

"Un progetto nato con l'obiettivo di fornire un servizio di bene pubblico senza fini di lucro per migliorare la catena di fornitura del software open source facilitando l'adozione della firma crittografica del software, supportata da tecnologie di registrazione della trasparenza. Inoltre, cerca di addestrare gli sviluppatori di software a firmare in modo sicuro artefatti software come file di rilascio, immagini di contenitori, file binari, manifesti di distinte base e altro ancora."

Inoltre, questo progetto mira a garantire che:

"I materiali firmati sono conservati in un registro pubblico a prova di manomissione."

Perché Sigstore è importante?

Questo progetto, i suoi strumenti e membri, cerca di evitare «attacchi alla catena di fornitura del software », come quello che è successo con SolarWinds e altri ben noti negli ultimi tempi.

"Microsoft ha affermato che gli hacker hanno compromesso il software di monitoraggio e gestione Orion di SolarWinds, consentendo loro di impersonare qualsiasi utente e account esistente nell'organizzazione, compresi gli account con privilegi elevati. Si dice che la Russia abbia sfruttato i livelli della catena di approvvigionamento per accedere ai sistemi delle agenzie governative."

Articolo correlato:

L'hack di SolarWinds potrebbe essere molto peggiore del previsto

Fatti capire da «attacco alla filiera del software » all'atto con cui, Un hacker inserisce codice dannoso in un software legittimo per diffonderlo ovunque.

Quindi, progetti liberi / aperti che sono gratuiti e facili da implementare, come ad esempio "Signor negozio" sono sempre più necessari ai nostri giorni.

Come prevenire gli attacchi alla catena di fornitura del software?

Sebbene, in altre occasioni, abbiamo offerto alcuni consigli utili sulla sicurezza delle informazioni, pratici per tutti e in qualsiasi momento o situazione, i seguenti suggerimenti sono direttamente mirati a mitigare il più possibile questo tipo di attacco:

Articolo correlato:

Suggerimenti per la sicurezza del computer per tutti, sempre e ovunque

1. Mantenere un inventario di tutti gli strumenti software propri e di terze parti, sia gratuiti che aperti, proprietari e chiusi, che vengono utilizzati.
2. Prestare attenzione alle vulnerabilità note e future, di tutte le applicazioni e i sistemi utilizzati, per applicare al più presto le patch ufficialmente disponibili.
3. Tieniti informato sulle violazioni rilevate o sugli attacchi effettuati, a fornitori di software propri e di terze parti, per evitare sorprese inaspettate in questi modi.
4. Elimina nel più breve tempo possibile quei sistemi, servizi e protocolli che possono essere ridondanti (non necessari) o obsoleti (non utilizzati).
5. Pianifica e implementa strategie e requisiti di sicurezza congiunti con i tuoi fornitori di software, per ridurre al minimo il rischio IT derivante da loro e dai tuoi processi di sicurezza.
6. Esegui controlli del codice regolari. E mantieni aggiornate le revisioni della sicurezza e le procedure di controllo delle modifiche, necessarie per ogni componente del codice creato o utilizzato.
7. Esegui test di penetrazione di routine per identificare potenziali pericoli sulla tua piattaforma informatica.
8. Implementa misure di sicurezza IT come il controllo degli accessi e l'autenticazione a doppio fattore (2FA) per proteggere i processi di sviluppo del software.
9. Esegui software di sicurezza con più livelli di protezione. Soprattutto contro intrusioni, virus e rasoi, così comuni di questi tempi.
10. Mantieni aggiornato il tuo piano di backup o di emergenza, al fine di mantenere in sicurezza i dati vitali delle vostre applicazioni, sistemi e attività (processi) ed essere in grado di recuperarli tutti, nel più breve tempo possibile.
    

Maggiori informazioni sigstore

Infine, gli sviluppatori di "Signor negozio" spiegano un po' il funzionamento di questo progetto nel modo seguente:

"sigstore sfrutta le tecnologie PKI x509 esistenti e i registri di trasparenza. Gli utenti generano coppie di chiavi effimere di breve durata utilizzando gli strumenti client sigstore. Il servizio sigstore PKI fornirà quindi un certificato di firma generato dopo una concessione di connessione OpenID riuscita. Tutti i certificati sono registrati in un registro per la trasparenza dei certificati e i materiali per la firma del software sono inviati a un registro per la trasparenza delle firme."

"L'utilizzo dei record di trasparenza introduce una radice di fiducia nell'account OpenID dell'utente. In questo modo possiamo avere garanzie che l'utente rivendicato aveva il controllo dell'account di un fornitore di servizi di identità al momento della firma. Una volta completata l'operazione di firma, le chiavi possono essere scartate, eliminando qualsiasi necessità di ulteriore gestione delle chiavi o la necessità di revoca o rotazione."

Per maggiori informazioni su "Signor negozio" puoi visitare il tuo sito ufficiale su GitHub e Community (Gruppo) pubblico su Google.

Riassunto

Speriamo questo "piccolo post utile" su  «Sigstore», un interessante e utile progetto del Linux Foundation, cos'è un file servizio di trasparenza e firma del software bene pubblico e senza scopo di lucro, creato per migliorare la catena di approvvigionamento software aperto; essere di grande interesse e utilità, per l'intera «Comunidad de Software Libre y Código Abierto» e di grande contributo alla diffusione del meraviglioso, gigantesco e crescente ecosistema di applicazioni di «GNU/Linux».

Per ora, se ti è piaciuto publicación, Non fermarti condividilo con altri, sui tuoi siti web, canali, gruppi o comunità di social network o sistemi di messaggistica preferiti, preferibilmente gratuiti, aperti e / o più sicuri come Telegram, Signal, Mastodonte o un altro di Fediverse, preferibilmente.

E ricorda di visitare la nostra home page all'indirizzo «DesdeLinux» per esplorare altre notizie e unirti al nostro canale ufficiale di Telegramma da DesdeLinux. Mentre, per maggiori informazioni, puoi visitare qualsiasi Biblioteca in linea come OpenLibra y jedit, per accedere e leggere libri digitali (PDF) su questo argomento o altri.