Sigstore:オープンソースのサプライチェーンを改善するプロジェクト
今日は 「シグストア」。 多くのXNUMXつ、 無料でオープンなプロジェクト の指導の下で Linux Foundation.
「シグストア」 これは基本的に、公共財、非営利のサービスを提供するために作成されたプロジェクトです。 サプライチェーンを改善する de オープンソースソフトウェア 透明性登録技術に裏打ちされたソフトウェア暗号署名の採用を促進します。
「シグストア」、それだけではありません LinuxFoundationプロジェクト これは以前に話しました。 それらの別のものは 自動車グレードLinux、その時点で次のように説明します。
「Automotive Grade(Quality)Linuxは、自動車メーカー、ベンダー、テクノロジー企業を結集して、未来の自動車向けの完全にオープンなソフトウェアスタックの開発と採用を加速するオープンソースの共同プロジェクトです。 Linuxを中核として、AGLは、新しい機能やテクノロジーの迅速な開発を可能にする事実上の業界標準として機能できるオープンプラットフォームをゼロから開発しています。 Linux Foundation:Consumer Electronics Show2020に参加
後で、将来の出版物で他のプロジェクトに取り組む予定ですが、それらのいくつかを自分で探求したい人のために、彼らは次のリンクを通してそうすることができます: LinuxFoundationプロジェクト.
Sigstore:LinuxFoundationのプロジェクト
Sigstoreとは何ですか?
彼自身によると Sigstore公式ウェブサイト、同じです:
「透明性登録技術によってサポートされるソフトウェア暗号署名の採用を促進することにより、オープンソースソフトウェアサプライチェーンを改善するための非営利の公共財サービスを提供することを目的として作成されたプロジェクト。 さらに、リリースファイル、コンテナイメージ、バイナリ、部品表マニフェストなどのソフトウェアアーティファクトに安全に署名するようにソフトウェア開発者をトレーニングしようとします。
さらに、このプロジェクトは次のことを確実にすることを目指しています。
「署名された資料は、改ざん防止の公的記録に保管されます。
Sigstoreが重要なのはなぜですか?
このプロジェクト、そのツールとメンバーは、回避しようとしています «ソフトウェアサプライチェーンへの攻撃»、など、何が起こったのか SolarWinds と最近よく知られている他のもの。
「Microsoftによると、ハッカーはSolarWindsのOrion監視および管理ソフトウェアを侵害し、特権の高いアカウントを含め、組織内の既存のユーザーやアカウントになりすますことができたという。 ロシアは、政府機関のシステムにアクセスするためにサプライチェーンの層を利用したと言われています。
によって理解される «ソフトウェアサプライチェーンへの攻撃» それによって行為に、 ハッカーは、悪意のあるコードを正規のソフトウェアに挿入して、あらゆる場所に拡散させます。
したがって、次のような無料で実装が簡単な無料/オープンプロジェクト 「シグストア」 それらは私たちの時代にますます必要になっています。
ソフトウェアサプライチェーンへの攻撃を防ぐ方法は?
他の場合には、すべての人にとって実用的で、いつでも、どのような状況でも役立つ情報セキュリティのアドバイスを提供しましたが、次のヒントは、このタイプの攻撃を可能な限り軽減することに直接焦点を当てています。
- 使用されている、無料とオープン、およびプロプライエタリとクローズの両方の、すべての自社およびサードパーティのソフトウェアツールのインベントリを維持します。
- 使用されているすべてのアプリケーションとシステムの既知および将来の脆弱性に注意して、公式に利用可能なパッチをできるだけ早く適用してください。
- これらの方法で予期しない予期しない事態が発生しないように、自社およびサードパーティのソフトウェアプロバイダーに対して、検出された違反または実行された攻撃に関する情報を常に入手してください。
- 冗長(不要)または廃止(未使用)の可能性があるシステム、サービス、およびプロトコルを最短時間で排除します。
- ソフトウェアプロバイダーとの共同戦略とセキュリティ要件を計画および実装して、ソフトウェアプロバイダーと独自のセキュリティプロセスによるITリスクを最小限に抑えます。
- 定期的なコード監査を実行します。 また、作成または使用されるコードの各コンポーネントに必要な、更新されたセキュリティレビューと変更管理手順を保持します。
- 定期的な侵入テストを実行して、コンピューティングプラットフォームの潜在的な危険を特定します。
- ソフトウェア開発プロセスを保護するために、アクセス制御や二要素認証(2FA)などのITセキュリティ対策を実装します。
- 複数の保護層を備えたセキュリティソフトウェアを実行します。 特に侵入、ウイルス、ラソムウェアに対しては、最近よく見られます。
- バックアップまたは緊急時対応計画を最新の状態に保ち、 アプリケーション、システム、およびアクティビティ(プロセス)の重要なデータを安全に維持し、それらのいずれかを最短時間で回復できるようにします。
詳細について シグストア
最後に、の開発者 「シグストア」 彼らはこのプロジェクトの操作を次のように少し説明します:
「シグストア 既存のx509PKIテクノロジーと透過性レジストリを活用します。 ユーザーは、sigstoreクライアントツールを使用して、短命の一時的なキーペアを生成します。 sigstore PKIサービスは、OpenID接続の許可が成功した後に生成された署名証明書を提供します。 すべての証明書は証明書の透明性レジストリに記録され、ソフトウェア署名資料は署名の透明性レジストリに送信されます。
「透明性レコードを使用すると、ユーザーのOpenIDアカウントに信頼のルートが導入されます。 したがって、署名時に、要求されたユーザーがIDサービスプロバイダーのアカウントを管理していたことを保証できます。 署名操作が完了すると、キーを破棄できるため、追加のキー管理や失効またはローテーションの必要がなくなります。
詳細については 「シグストア」 あなたはあなたを訪問することができます GitHubの公式ウェブサイト と コミュニティ(グループ)パブリック オン でログイン.
要約
これを願っています 「便利な小さな投稿 オン «Sigstore»、の面白くて便利なプロジェクト Linux Foundationこれは 透明性サービスとソフトウェア署名 公共財および非営利団体、 サプライチェーンを改善する オープンソースソフトウェア; 全体として、非常に興味深く有用です «Comunidad de Software Libre y Código Abierto» そして、アプリケーションの素晴らしい、巨大で成長しているエコシステムの普及に大きく貢献しています «GNU/Linux».
今のところ、これが好きなら publicación、 止まらないで それを共有する 他の人と一緒に、お気に入りのWebサイト、チャネル、グループ、またはソーシャルネットワークやメッセージングシステムのコミュニティで、できれば無料、オープン、および/またはより安全な Telegram, シグナル, マストドン または別の フェディバース、できれば。
そして、私たちのホームページにアクセスすることを忘れないでください «DesdeLinux» より多くのニュースを探索するだけでなく、の公式チャンネルに参加する の電報 DesdeLinux. 詳細については、次のいずれかにアクセスできます。 オンラインライブラリ として OpenLibra y ジェディット, このトピックまたは他のトピックに関するデジタルブック(PDF)にアクセスして読むため。