Sigstore, e gratis Service fir den Urspronk an d'Authentizitéit vu Software z'iwwerpréiwen

An engem Effort fir déi gratis Software Versuergungskette ze sécheren, huet den Linux Fondatioun (déi asbl déi Innovatioun duerch Open Source fërdert) huet mat Red Hat, Google a Purdue University zesummegeschafft fir ze starten en neie Projet fir Entwéckler ze hëllefen einfach kryptographesch Ënnerschrëft a Software unzehuelen.

Este neie Projet gëtt ënnerstëtzt vu Rekordtransparenz Technologien, wéi den ëmmer méi industriellen Adoptiounsquote vun Open Source Software, de Projet, Sigstore, soll verhënneren datt en Ugrëff op en ëffentlecht Software-Repository korrupte Code an d'Versuergungskette injizéiert.

Sigstore erlaabt Softwareentwéckler sech sécher z'ënnerschreiwen Software Artefakte wéi Versiounsdateien, Containerbiller a Binären. Et gëtt erwähnt datt ënnerschriwwe Saachen an engem manipuléierbare Public Journal gespäichert ginn.

SigStore probéiert d'Entwéckler z'erméiglechen den Urspronk an d'Authentizitéit vu Software ze verstoen an ze bestätegen, déi op engem dacks disparate Set vu Approchen an Datenformater baséiert. Bestehend Léisunge baséieren dacks op "Zesummefaassungen" (Hash oder Resultater vun enger Hashfunktioun) gespäichert op onsécher Systemer, déi kënne korrupt sinn a féieren zu verschiddenen Attacken, wéi Hash Austausch oder Hashfunktioun, Attacke géint Benotzer geriicht.

D'Benotzung vum Service wäert gratis sinn fir all Softwareentwéckler a Verkeefer, an d'SigStore Gemeinschaft entwéckelen de Code an d'operational Tools fir d'Sigstore. Red Hat, Google a Purdue University gehéieren zu de Grënnungsmembere vum Projet.

"Sigstore erméiglecht all Open Source Gemeinschaften hir Software z'ënnerschreiwen a kombinéiert Hierkonft, Integritéit an Entdeckbarkeet fir eng transparent a verifizéierbar Software Versuergungskette ze kreéieren", sot de Luke Hinds, Chef Sécherheetsbeamten, Red Hat CTO Büro. "Duerch dës Zesummenaarbecht bei der Linux Foundation, kënne mir eis Aarbecht op Sigstore beschleunegen an d'weider Adoptioun an Impakt vun Open Source Software an Entwécklung ënnerstëtzen."

"D'Sécherung vun enger Softwareimplementéierung soll ufänken mat derfir ze suergen datt mir d'Software lafen déi mir mengen datt mir hunn. sigstore stellt eng super Geleeënheet méi Vertrauen an Transparenz an d'Open Source Software Supply Chain ze bréngen, "sot de Josh Aas,

Argumenteréieren datt déi modern Software Supply Chain u verschidde Risike ausgesat ass, de Projet seet datt existent Tools, woubäi Leit perséinlech begéine fir Schlësselen z'ënnerschreiwen, an déi sou laang gutt geschafft hunn, kann net méi an der heiteger Ëmwelt mat geografesch dispergéierte Beräicher erreecht ginn.

Och gëtt et erwähnt datt et gi ganz wéineg Open Source Projeten déi kryptographesch Software Versioun Artefakte ënnerschreiwen. Dëst ass haaptsächlech wéinst den Erausfuerderunge Software Inhaber am Schlësselmanagement, Schlësselkompromësser, Revokatioun a Verdeelung vun ëffentleche Schlësselen an Hash Artefakter. Dëst bedeit datt d'Benotzer mussen erausfannen wéi eng Schlësselen se vertrauen an d'Schrëtt léieren fir d'Ënnerschrëft ze validéieren.

“Sigstore zielt fir all Versioune vun Open Source Software verifizéierbar ze maachen an d'Verifikatioun vun de Benotzer erliichtert. Hoffentlech kënne mir dëst sou einfach maachen wéi aus Vim erauszekommen, "sot den Dan Lorenc, Softwareingenieur am Google Open Source Software Sécherheets Team. 

En anere Problem ass wéi Hashen an ëffentlech Schlëssele verdeelt ginn - si ginn dacks op potenziell gehackte Websäiten oder an enger README Datei an engem ëffentleche Git Repository gelagert.

SigStore probéiert dës Themen unzegoen andeems se kuerz gelieft ephemeral Schlëssele mat enger Wuerzel vum Vertrauen aus engem oppenen a verifizéierbaren ëffentlechen Transparenzregister benotzen. Den neie Service hëlleft Entwéckler a Benotzer ze verstoen an ze bestätegen den Urspronk an d'Authentizitéit vun der Software, mat minimalem Overhead.

“Ech si ganz opgereegt iwwer e System wéi Sigstore. De Software-Ökosystem brauch dréngend sou e System fir iwwer de Status vun der Versuergungskette ze berichten. Ech denken mat Sigstore, déi all Froen iwwer Softwarequellen an Eegentum beäntwert, kënne mir ufänke Froen iwwer Software Destinatiounen, Konsumenten, Konformitéit (legal an anescht) ze stellen, kriminell Netzwierker z'identifizéieren a kritesch Softwareinfrastrukturen ofzesécheren. ", Sot Santiago Torres-Arias

 


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.