Sigstore: Projet fir d'Open Source Supply Chain ze verbesseren

Sigstore: Projet fir d'Open Source Supply Chain ze verbesseren

Sigstore: Projet fir d'Open Source Supply Chain ze verbesseren

Haut schwätze mir iwwer "Sigstore". Eng vu ville, vun de fräi an oppen Projeten ënner der Tutelle vun der Linux Fondatioun.

"Sigstore" Et ass am Fong e Projet erstallt fir en net-Gewënn ëffentleche gudde Service ze bidden, fir d'Versuergungskette verbesseren de open source Software d'Adoptioun vu Software kryptographescher Ënnerschrëft erliichtert ënnerstëtzt vun Transparenz Registréierungstechnologien.

Automotive Grad Linux

"Sigstore", Et ass net deen eenzegen Linux Foundation Projet iwwer déi mer scho virdru geschwat hunn. Eng aner vun hinne war Automotive Grad Linux, déi mir zu där Zäit wéi folgend beschreiwen:

"Automotive Grade (Qualitéit) Linux ass en Open Source Kollaboratiounsprojet deen Autosproduzenten, Händler an Technologiefirmen zesumme bréngt fir d'Entwécklung an d'Adoptioun vun engem voll oppene Softwarestack fir den Auto vun der Zukunft ze beschleunegen. Mat Linux am Kär, entwéckelt AGL eng oppe Plattform vun Ufank un, déi als de facto Industriestandard kann déngen fir eng séier Entwécklung vun neie Featuren an Technologien z'erméiglechen." Linux Foundation: Présent op der Consumer Electronics Show 2020

Verbonnen Artikel:
Linux Foundation: Présent op der Consumer Electronics Show 2020

Verbonnen Artikel:
Linux geet op d'Strooss dank Automotive Grade Linux

Méi spéit, an zukünftege Publikatioune wäerte mir aner Projeten uschwätzen, awer fir déi, déi e puer vun hinne selwer entdecke wëllen, kënne se dat iwwer de folgende Link maachen: Linux Foundation Projeten.

Sigstore: E Projet vun der Linux Foundation

Sigstore: E Projet vun der Linux Foundation

Wat ass Sigstore?

No sech selwer Sigstore offiziell Websäit, datselwecht ass:

"E Projet erstallt mam Zil en non-profit ëffentleche gudde Service ze bidden fir d'Open Source Software Supply Chain ze verbesseren andeems d'Adoptioun vun der Software kryptographescher Ënnerschrëft vereinfacht gëtt, ënnerstëtzt vun Transparenz Registréierungstechnologien. Ausserdeem probéiert et Softwareentwéckler ze trainéieren fir Software Artefakte sécher z'ënnerschreiwen wéi Verëffentlechungsdateien, Containerbilder, Binarien, Materialrechnung a méi."

Zousätzlech probéiert dëse Projet sécherzestellen datt:

"Déi ënnerschriwwe Materialien sinn an engem manipuléierbaren ëffentleche Rekord gelagert."

Firwat ass Sigstore wichteg?

Dëse Projet, seng Tools a Memberen, probéiert ze vermeiden «Attacken op d'Software Versuergungskette », sou wéi, wat geschitt mat SolarWinds an anerer déi an der leschter Zäit bekannt sinn.

"Microsoft sot datt Hacker d'SolarWinds 'Orion Iwwerwaachungs- a Gestiounssoftware kompromittéiert hunn, sou datt se all existent Benotzer a Kont an der Organisatioun imitéieren, och héich privilegiéiert Konten. Russland gëtt gesot datt se Schichten vun der Versuergungskette exploitéiert hunn fir Zougang zu de Regierungsagence Systemer ze kréien."

Verbonnen Artikel:
De SolarWinds Hack kéint vill méi schlëmm sinn wéi erwaart

Sinn ze verstoen «Attack op d'Software Versuergungskette » zum Akt duerch deen, en Hacker setzt béisaarteg Code an eng legitim Software fir en iwwerall ze verbreeden.

Dofir gratis / offen Projeten déi gratis sinn an einfach ëmzesetzen, wéi z "Sigstore" si sinn ëmmer méi noutwendeg an eisen Deeg.

Wéi verhënnert Dir Attacken op d'Software Supply Chain?

Och wa mir op aner Geleeënheeten e puer nëtzlech Informatiounssécherheetsberodungen ugebuede hunn, praktesch fir jiddereen an zu all Moment oder Situatiounen, sinn déi folgend Tipps direkt fokusséiert op dës Zort Ugrëff sou vill wéi méiglech ze reduzéieren:

Verbonnen Artikel:
Computersécherheets Tipps fir Jiddereen All Moment, Iwwerall
  1. Haalt en Inventaire vun all eegenen an Drëtt Partei Software Tools, gratis an oppen, a propriétaire an zou, déi benotzt ginn.
  2. Sidd Iech vu bekannten an zukünftege Schwachstelle bewosst, vun allen Uwendungen a Systemer déi benotzt ginn, sou séier wéi méiglech d'Patchen anzewenden déi offiziell verfügbar sinn.
  3. Bleift informéiert iwwer entdeckt Verstéiss oder duerchgefouert Attacken, un eegene an Drëtt Partei Software Ubidder, fir onerwaart Iwwerraschungen op dës Weeër ze vermeiden.
  4. Eliminéiert a kierzester Zäit déi Systemer, Servicer a Protokoller déi iwwerflësseg (onnéideg) oder onerwaart (onbenotzt) kënne sinn.
  5. Plangt a implementéiert gemeinsam Strategien a Sécherheetsufuerderunge mat Äre Software Ubidder, fir den IT Risiko vun hinnen an Är eege Sécherheetsprozesser ze minimiséieren.
  6. Fuert regelméisseg Code Audits. An hält aktualiséiert Sécherheetsbeurteeler a verännert Kontrollprozeduren, erfuerderlech fir all Komponent vum Code erstallt oder benotzt.
  7. Maacht Routinepenetratiounstester fir potenziell Geforen op Ärer Rechenplattform z'identifizéieren.
  8. Implementéiert IT Sécherheetsmoossnamen, wéi Zougangskontrollen an Duebelfaktorauthentifikatioun (2FA) fir Software Entwécklungsprozesser ze schützen.
  9. Run Sécherheetssoftware mat méi Schutzschichten. Besonnesch géint Andréngen, Virussen a Rasomwares, sou heefeg dës Deeg.
  10. Halt Äre Backup oder de Berodungsplang um neiste Stand, fir sécher d'Vital Daten vun Ären Uwendungen, Systemer an Aktivitéiten (Prozesser) z'erhalen, a fäeg sinn eng vun hinnen ze recuperéieren, a kuerzerst méiglecher Zäit.

Méi iwwer Sigstore

Méi iwwer Sigstore

Endlech hunn d'Entwéckler vu "Sigstore" si erklären e bëssen de Fonctionnement vun dësem Projet op folgend Manéier:

"Sigstore benotzt bestehend x509 PKI Technologien an Transparenzregistratiounen. D'Benotzer generéieren kuerzlieweg ephemeral Schlësselpuer mat de Sigstore Client Tools. De Sigstore PKI Service gëtt dann en Ënnerschreiwe Certificat deen no engem erfollegräichen OpenID Connect Subventioun generéiert gëtt. All Zertifikater ginn an engem Zertifikat Transparenz Enregistrement opgeholl a Software Ënnerschreiwe Material ginn an eng Ënnerschrëft Transparenz Enregistrement ofginn."

Méi iwwer Sigstore

"Mat Transparenz records kënnt e Root vum Vertrauen an den OpenID Kont vum Benotzer. Sou kënne mir Garantien hunn datt de behaapte Benotzer d'Kontroll vun engem Identitéitsdéngschtleeschter am Moment vum Ënnerschreiwe war. Wann d'Ënnerschreiweoperatioun fäerdeg ass, kënnen d'Schlëssele verworf ginn, eliminéiert all Besoin fir zousätzlech Schlësselmanagement oder d'Bedierfnes fir Ofkierzung oder Rotatioun."

Fir méi Informatiounen iwwer "Sigstore" kënnt Dir Är offiziell Websäit op GitHub a sengen Gemeinschaft (Grupp) ëffentlech ongeféier Google.

Zesummefaassung: Verschidde Publikatiounen

Summary

Mir hoffen dat "hëllefräich klenge Post" ongeféier  «Sigstore», en interessanten an nëtzleche Projet vun der Linux Fondatioundat ass en Transparenz Service a Software Ënnerschrëft ëffentlech Gutt an ouni Gewënnzweck, erstallt fir d'Versuergungskette verbesseren Open Source Software; ass vu groussem Interesse an Utilitéit, fir d'ganz «Comunidad de Software Libre y Código Abierto» a vu grousse Bäitrag zur Diffusioun vum wonnerschéinen, giganteschen a wuessenden Ökosystem vun Uwendunge vu «GNU/Linux».

Fir elo, wann Dir dëst gär hätt publicación, Net ophalen deelen et mat aneren, op Äre Liiblingswebsäiten, Kanäl, Gruppen oder Gemeinschaften vu sozialen Netzwierker oder Messagerie Systemer, am beschten gratis, oppen an / oder méi sécher wéi Hëllefe profitéierenSignalMastodon oder eng aner vun Fediverse, am léifsten.

An denkt drun eis Homepage bei ze besichen «FromLinux» fir méi Neiegkeeten ze entdecken, sou wéi och mat eisem offizielle Kanal vun Telegramm vu FromLinuxWärend, fir méi Informatioun, kënnt Dir all besichen Online Bibliothéik wéi OpenLibra y JedIT, fir digital Bicher (PDFs) zu dësem Thema oder aneren z'erreechen an ze liesen.


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.