Sigstore: פרויקט לשיפור שרשרת האספקה ​​בקוד פתוח

Sigstore: פרויקט לשיפור שרשרת האספקה ​​בקוד פתוח

Sigstore: פרויקט לשיפור שרשרת האספקה ​​בקוד פתוח

היום נדבר על "זיגסטור". אחד מני רבים, של פרויקטים בחינם ופתוחים בהדרכתו של קרן לינוקס.

"זיגסטור" זה בעצם פרויקט שנוצר על מנת לספק שירות טוב לציבור ללא כוונת רווח לשפר את שרשרת האספקה de תוכנת קוד פתוח מקלה על אימוץ חתימת הצפנה בתוכנה המגובה בטכנולוגיות רישום שקיפות.

לינוקס בכיתה רכב

"זיגסטור", זה לא היחיד פרויקט קרן לינוקס עליו דיברנו בהזדמנויות קודמות. עוד אחד מהם היה לינוקס כיתה רכב, אותם אנו מתארים בזמנו באופן הבא:

"לינוקס כיתה רכב (איכות) הוא פרויקט שיתופי בקוד פתוח המפגיש בין יצרני רכב, ספקים וחברות טכנולוגיה כדי להאיץ את הפיתוח והאימוץ של ערמת תוכנה פתוחה לחלוטין למכונית העתיד. עם לינוקס בבסיסה, AGL מפתחת פלטפורמה פתוחה מהיסוד שיכולה לשמש כסטנדרט בתעשייה בפועל כדי לאפשר פיתוח מהיר של תכונות וטכנולוגיות חדשות." קרן לינוקס: נוכחת בתערוכת האלקטרוניקה הצרכנית 2020

Artaculo relacionado:
קרן לינוקס: נוכחת בתערוכת האלקטרוניקה הצרכנית 2020

Artaculo relacionado:
לינוקס יוצאת לדרך בזכות לינוקס בכיתה רכב

בהמשך, בפרסומים עתידיים אנו נתייחס לפרויקטים אחרים, אך עבור מי שמעוניין לחקור חלק מהם לבד, הם יכולים לעשות זאת באמצעות הקישור הבא: פרויקטים של קרן לינוקס.

זיגסטור: פרויקט של קרן לינוקס

זיגסטור: פרויקט של קרן לינוקס

מה זה זיגסטור?

לדברי עצמו האתר הרשמי של זיגסטור, אותו הדבר הוא:

"פרויקט שנוצר במטרה לספק שירות למטרות רווח ללא מטרות רווח לשיפור שרשרת האספקה ​​של תוכנות קוד פתוח על ידי הקלה על אימוץ החתימה ההצפנתית של התוכנה, הנתמך בטכנולוגיות רישום שקיפות. בנוסף, היא מנסה להכשיר מפתחי תוכנה לחתום בצורה מאובטחת על חפצי תוכנה כמו קבצי שחרור, תמונות מיכל, קבצים בינאריים, ביטויים של חומרים ועוד."

בנוסף, פרויקט זה מבקש להבטיח כי:

"החומרים החתומים מאוחסנים ברשומה ציבורית חסינת טמפ '."

מדוע זיגסטור חשובה?

פרויקט זה, כליו וחבריו, מבקש להימנע «התקפות על שרשרת אספקת התוכנה », כגון, מה שקרה עם השמש ואחרים הידועים בתקופה האחרונה.

"מיקרוסופט אמרה כי האקרים התפשרו על תוכנת הניטור והניהול של SolarWinds, ואפשרו להם להתחזות לכל משתמש וחשבון קיים בארגון, כולל חשבונות מיוחסים מאוד. אמרו כי רוסיה ניצלה שכבות בשרשרת האספקה ​​כדי לגשת למערכות סוכנויות ממשלתיות."

Artaculo relacionado:
הפריצה של SolarWinds עלולה להיות הרבה יותר גרועה מהצפוי

להיות מובן על ידי «התקפה על שרשרת אספקת התוכנה » למעשה שבאמצעותו, האקר מכניס קוד זדוני לתוכנה לגיטימית במטרה להפיץ אותו לכל מקום.

מכאן, פרויקטים בחינם / פתוחים שהם חופשיים וקלים ליישום, כגון "זיגסטור" הם נחוצים יותר ויותר בימינו.

כיצד למנוע התקפות על שרשרת אספקת התוכנה?

למרות שבהזדמנויות אחרות הצענו ייעוץ שימושי לאבטחת מידע, המעשי לכולם ובכל זמן ומצב, הטיפים הבאים מתמקדים ישירות בכדי להקל על התקפה מסוג זה ככל האפשר:

Artaculo relacionado:
טיפים לאבטחת מחשבים לכולם בכל עת ובכל מקום
  1. שמור על מלאי של כל כלי התוכנה והצד השלישי, בחינם ופתוח, וקנייניים וסגורים, המשמשים.
  2. היה מודע לפגיעות הידועות והעתידיות, לכל היישומים והמערכות המשמשות, כדי ליישם בהקדם האפשרי את התיקונים הזמינים באופן רשמי.
  3. הישאר מעודכן אודות הפרות או התקפות שזוהו, לספקי תוכנה של צד שלישי, כדי למנוע הפתעות בלתי צפויות בדרכים אלה.
  4. בטל בזמן הקצר ביותר את מערכות, שירותים ופרוטוקולים שעשויים להיות מיותרים (מיותרים) או מיושנים (שאינם בשימוש).
  5. תכנן ויישם אסטרטגיות ודרישות אבטחה משותפות עם ספקי התוכנה שלך, כדי למזער את סיכון ה- IT מהם ותהליכי האבטחה שלך.
  6. הפעל ביקורת קוד רגילה. ושמור על סקירות אבטחה מעודכנות ונהלי בקרת שינוי הנדרשים לכל רכיב בקוד שנוצר או נעשה שימוש.
  7. בצע בדיקות חדירה שגרתיות כדי לזהות סכנות אפשריות בפלטפורמת המחשוב שלך.
  8. יישום אמצעי אבטחת IT כגון בקרות גישה ואימות כפול גורמים (2FA) כדי להגן על תהליכי פיתוח תוכנה.
  9. הפעל תוכנת אבטחה עם מספר שכבות הגנה. במיוחד כנגד חדירות, נגיפים ורזוואר, שכיחים כל כך בימינו.
  10. שמור על תוכנית הגיבוי או המגירה שלך מעודכנת על מנת לשמור בבטחה על הנתונים החיוניים של היישומים, המערכות והפעילויות שלך (תהליכים), ולהיות מסוגל לשחזר כל אחד מהם, בזמן הקצר ביותר האפשרי.

עוד על זיגסטור

עוד על זיגסטור

לבסוף, המפתחים של "זיגסטור" הם מסבירים מעט את פעולת הפרויקט באופן הבא:

"זיגסטור ממנף טכנולוגיות PK509 קיימות ורישומי שקיפות קיימים. משתמשים מייצרים צמדי מפתח קצרי מועד באמצעות כלי הלקוח של sigstore. לאחר מכן שירות ה- PKI של sigstore יספק תעודת חתימה שנוצרה לאחר מענק חיבור OpenID מוצלח. כל האישורים רשומים במרשם שקיפות האישורים וחומרי החתימה על תוכנה מוגשים לרישום שקיפות החתימה."

עוד על זיגסטור

"שימוש ברישומי שקיפות מציג שורש אמון בחשבון OpenID של המשתמש. לפיכך נוכל לקבל ערבויות לכך שהמשתמש הנתבע היה בשליטה בחשבון של ספק שירותי זהות בעת החתימה. לאחר השלמת פעולת החתימה, ניתן להשליך את המפתחות, דבר המבטל כל צורך בניהול מפתחות נוסף או צורך בביטול או בסיבוב."

למידע נוסף בנושא "זיגסטור" אתה יכול לבקר שלך האתר הרשמי ב- GitHub ו - ציבור קהילתי (קבוצתי) על Google.

סיכום: פרסומים שונים

תקציר

אנחנו מקווים שזה "פוסט קטן ומועיל" על  «Sigstore», פרויקט מעניין ושימושי של קרן לינוקסשהוא א שירות שקיפות וחתימת תוכנה טובת הציבור ללא כוונת רווח, נוצרה עבור לשפר את שרשרת האספקה תוכנת קוד פתוח; הוא בעל עניין ותועלת רבה לכל אורכו «Comunidad de Software Libre y Código Abierto» ותרומה רבה להפצת המערכת האקולוגית הנפלאה, הענקית והצומחת של יישומים של «GNU/Linux».

לעת עתה, אם אהבת את זה publicación, אל תפסיק שתף את זה עם אחרים, באתרים, בערוצים, בקבוצות או בקהילות הרשתות החברתיות או מערכות ההודעות המועדפות עליך, רצוי בחינם, פתוח ו / או מאובטח יותר כ מברקלאותתמסטודון או אחר של פדיברס, רצוי.

וזכרו לבקר בדף הבית שלנו בכתובת «מ- Linux» לחקור חדשות נוספות ולהצטרף לערוץ הרשמי שלנו מברק מ- FromLinuxבעוד, למידע נוסף, תוכלו לבקר בכל אחד מהם ספרייה מקוונת כמו OpenLibra y JedIT, כדי לגשת ולקרוא ספרים דיגיטליים (קובצי PDF) בנושא זה או אחרים.


תוכן המאמר עומד בעקרונותינו של אתיקה עריכתית. כדי לדווח על שגיאה לחץ כאן.

היה הראשון להגיב

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.