Sigstore : 오픈 소스 공급망 개선 프로젝트
오늘 우리는 "Sigstore". 많은 것 중 하나 무료 및 공개 프로젝트 의지도하에 리눅스 재단.
"Sigstore" 기본적으로 비영리 공익 서비스를 제공하기 위해 만들어진 프로젝트입니다. 공급망 개선 de 오픈 소스 소프트웨어 투명성 등록 기술로 뒷받침되는 소프트웨어 암호화 서명의 채택을 촉진합니다.
"Sigstore", 그것은 유일한 것이 아닙니다 Linux Foundation 프로젝트 우리가 이전에 이야기했던 것입니다. 그들 중 또 하나는 자동차 등급 Linux, 우리는 다음과 같이 당시에 설명합니다.
"Automotive Grade (Quality) Linux는 미래 자동차를위한 완전 개방형 소프트웨어 스택의 개발 및 채택을 가속화하기 위해 자동차 제조업체, 공급 업체 및 기술 회사를한데 모으는 오픈 소스 협업 프로젝트입니다. Linux를 핵심으로하는 AGL은 새로운 기능과 기술의 신속한 개발을 가능하게하는 사실상의 산업 표준 역할을 할 수있는 개방형 플랫폼을 처음부터 개발하고 있습니다." Linux Foundation : 2020 년 소비자 가전 전시회에 참석
나중에 향후 간행물에서 다른 프로젝트에 대해 다룰 예정이지만 일부 프로젝트를 직접 탐색하려는 사람들은 다음 링크를 통해 수행 할 수 있습니다. Linux Foundation 프로젝트.
Sigstore : Linux Foundation의 프로젝트
Sigstore는 무엇입니까?
자신에 따르면 Sigstore 공식 웹 사이트, 동일 :
"투명성 등록 기술이 지원하는 소프트웨어 암호화 서명의 채택을 촉진하여 오픈 소스 소프트웨어 공급망을 개선하기 위해 비영리 공익 서비스를 제공하는 것을 목적으로 만든 프로젝트입니다. 또한 릴리스 파일, 컨테이너 이미지, 바이너리, BOM 매니페스트 등과 같은 소프트웨어 아티팩트에 안전하게 서명하도록 소프트웨어 개발자를 교육합니다."
또한이 프로젝트는 다음을 보장합니다.
"서명 된 자료는 변조 방지 공공 기록에 저장됩니다."
Sigstore가 중요한 이유는 무엇입니까?
이 프로젝트, 도구 및 구성원은 «소프트웨어 공급망에 대한 공격», 무슨 일이 있었는지 SolarWinds 그리고 최근에 잘 알려진 다른 것들.
"MS는 해커들이 SolarWinds의 Orion 모니터링 및 관리 소프트웨어를 손상시켜 높은 권한을 가진 계정을 포함하여 조직의 기존 사용자 및 계정을 가장 할 수 있다고 말했다. 러시아는 정부 기관 시스템에 접근하기 위해 공급망의 계층을 이용했다고합니다."
이해 «소프트웨어 공급망에 대한 공격» 그 행위에 해커는 합법적 인 소프트웨어에 악성 코드를 삽입하여 모든 곳에 퍼뜨립니다.
따라서 다음과 같이 무료이며 구현하기 쉬운 무료 / 오픈 프로젝트 "Sigstore" 그들은 우리 시대에 점점 더 필요합니다.
소프트웨어 공급망에 대한 공격을 방지하는 방법은 무엇입니까?
다른 경우에 우리는 모든 사람에게 그리고 언제든지 또는 상황에 맞는 유용한 정보 보안 조언을 제공했지만 다음 팁은 이러한 유형의 공격을 최대한 완화하는 데 직접 초점을 맞추고 있습니다.
- 사용되는 모든 자체 및 타사 소프트웨어 도구 (무료 및 개방형, 독점 및 폐쇄 형)의 인벤토리를 유지합니다.
- 공식적으로 사용 가능한 패치를 가능한 한 빨리 적용하려면 사용되는 모든 응용 프로그램 및 시스템의 알려진 취약점과 미래의 취약점을 인식하십시오.
- 이러한 방식으로 예상치 못한 갑작스런 상황을 방지하기 위해 발견 된 침해 또는 수행 된 공격에 대한 정보를 소유 및 타사 소프트웨어 제공 업체에 지속적으로 제공하십시오.
- 가능한 한 최단 시간에 중복 (불필요) 또는 쓸모없는 (미사용) 시스템, 서비스 및 프로토콜을 제거합니다.
- 소프트웨어 제공 업체와 공동 전략 및 보안 요구 사항을 계획하고 구현하여 이들과 자체 보안 프로세스로 인한 IT 위험을 최소화하십시오.
- 정기적 인 코드 감사를 실행하십시오. 또한 생성되거나 사용 된 코드의 각 구성 요소에 필요한 업데이트 된 보안 검토 및 변경 제어 절차를 유지합니다.
- 일상적인 침투 테스트를 수행하여 컴퓨팅 플랫폼의 잠재적 위험을 식별합니다.
- 소프트웨어 개발 프로세스를 보호하기 위해 액세스 제어 및 이중 요소 인증 (2FA)과 같은 IT 보안 조치를 구현합니다.
- 다중 보호 계층으로 보안 소프트웨어를 실행합니다. 특히 침입, 바이러스 및 rasomware에 대해 요즘 매우 일반적입니다.
- 다음을 위해 백업 또는 비상 계획을 최신 상태로 유지하십시오. 애플리케이션, 시스템 및 활동 (프로세스)의 중요한 데이터를 안전하게 유지하고 가능한 한 최단 시간에 모든 데이터를 복구 할 수 있습니다.
자세히 알아보기 시그스토어
마지막으로 개발자 "Sigstore" 그들은 다음과 같은 방식으로이 프로젝트의 운영을 약간 설명합니다.
"시그스토어 기존 x509 PKI 기술 및 투명성 레지스트리를 활용합니다. 사용자는 sigstore 클라이언트 도구를 사용하여 수명이 짧은 임시 키 쌍을 생성합니다. 그런 다음 sigstore PKI 서비스는 성공적인 OpenID 연결 승인 후 생성 된 서명 인증서를 제공합니다. 모든 인증서는 인증서 투명성 레지스트리에 기록되고 소프트웨어 서명 자료는 서명 투명성 레지스트리에 제출됩니다."
"투명성 레코드를 사용하면 사용자의 OpenID 계정에 신뢰 루트가 생깁니다. 따라서 우리는 청구 된 사용자가 서명 할 때 신원 서비스 제공자의 계정을 제어하고 있음을 보장 할 수 있습니다. 서명 작업이 완료되면 키를 삭제할 수 있으므로 추가 키 관리 나 해지 또는 교체가 필요하지 않습니다."
자세한 내용은 "Sigstore" 당신은 당신의 GitHub의 공식 웹 사이트 과 커뮤니티 (그룹) 공개 에 구글.
개요
우리는 이것을 바랍니다 "유용한 작은 게시물" 에 «Sigstore»의 흥미롭고 유용한 프로젝트 리눅스 재단어느 투명성 서비스 및 소프트웨어 서명 공익 및 비영리, 공급망 개선 오픈 소스 소프트웨어; 큰 관심과 유용성입니다. «Comunidad de Software Libre y Código Abierto» 응용 프로그램의 훌륭하고 거대하며 성장하는 생태계의 확산에 큰 기여 «GNU/Linux».
지금은 이걸 좋아했다면 publicación, 멈추지 마 그것을 공유 좋아하는 웹 사이트, 채널, 그룹 또는 소셜 네트워크 또는 메시징 시스템의 커뮤니티에서 다른 사람과 함께, 가급적이면 무료, 개방형 및 / 또는보다 안전한 텔레그램, 신호, 마 스톤 또는 다른 페디 버스, 바람직하게.
그리고 우리 홈페이지를 방문하는 것을 잊지 마십시오. «DesdeLinux» 더 많은 뉴스를 탐색하고 공식 채널에 가입하십시오. 전보 DesdeLinux. 더 많은 정보를 원하시면 온라인 도서관 으로 OpenLibra y 제잇, 이 주제 또는 다른 주제에 대한 디지털 책 (PDF)에 액세스하고 읽을 수 있습니다.