„Sigstore“: Atvirojo kodo tiekimo grandinės tobulinimo projektas

Linux Post Install

7 minučių

„Sigstore“: Atvirojo kodo tiekimo grandinės tobulinimo projektas

„Sigstore“: Atvirojo kodo tiekimo grandinės tobulinimo projektas

Šiandien mes kalbėsime apie „Sigstore“. Vienas iš daugelio nemokami ir atviri projektai globojamas „Linux Foundation“.

„Sigstore“ Iš esmės tai projektas, sukurtas siekiant teikti viešojo gėrio, ne pelno paslaugas pagerinti tiekimo grandinę de atvirojo kodo programinė įranga palengvinti programinės įrangos kriptografinio parašo, paremto skaidrumo registravimo technologijomis, priėmimą.

„Automotive Grade Linux“

„Sigstore“, Tai ne vienintelis „Linux Foundation“ projektas apie kuriuos kalbėjome ankstesnėmis progomis. Dar vienas jų buvo „Automotive Grade Linux“, kurį tuo metu apibūdiname taip:

"„Automotive Grade“ (kokybė) „Linux“ yra atviro kodo bendradarbiavimo projektas, kuris suburia automobilių gamintojus, pardavėjus ir technologijų įmones, kad paspartintų visiškai atviros programinės įrangos paketo kūrimą ir priėmimą ateities automobiliams. Turėdama savo „Linux“ pagrindą, AGL kuria atvirą platformą nuo pat pradžių, kuri gali būti de facto pramonės standartas, leidžiantis greitai kurti naujas funkcijas ir technologijas." „Linux Foundation“: pristatoma „Consumer Electronics Show 2020“

„Linux Foundation“: pristatoma „Consumer Electronics Show 2020“
Susijęs straipsnis:
„Linux Foundation“: pristatoma „Consumer Electronics Show 2020“
 „Automotive Grade Linux“
Susijęs straipsnis:
„Linux“ pasiekia kelią „Automotive Grade Linux“ dėka

Vėliau būsimose publikacijose kalbėsime apie kitus projektus, tačiau tiems, kurie nori patys kai kuriuos iš jų ištirti, jie gali tai padaryti naudodamiesi šia nuoroda: „Linux Foundation“ projektai.

„Sigstore“: „Linux Foundation“ projektas

„Sigstore“: „Linux Foundation“ projektas

Kas yra „Sigstore“?

Pasak jo paties „Sigstore“ oficiali svetainė, tas pats yra:

"Projektas, sukurtas siekiant teikti ne pelno viešosios gėrybės paslaugą, siekiant pagerinti atvirojo kodo programinės įrangos tiekimo grandinę palengvinant programinės įrangos kriptografinio parašo priėmimą, palaikomą skaidrumo registravimo technologijomis. Be to, ji bando mokyti programinės įrangos kūrėjus saugiai pasirašyti programinės įrangos artefaktus, tokius kaip išleidimo failai, talpyklų vaizdai, dvejetainiai failai, medžiagų aprašai ir kt."

Be to, šiuo projektu siekiama užtikrinti, kad:

"Pasirašyta medžiaga saugoma viešame įraše, kuriame saugoma klastotė."

Kodėl „Sigstore“ yra svarbus?

Šio projekto, jo priemonių ir narių siekiama išvengti «atakos prieš programinės įrangos tiekimo grandinę », pavyzdžiui, kas nutiko SolarWinds ir kiti pastaraisiais laikais gerai žinomi.

"„Microsoft“ teigė, kad įsilaužėliai pakenkė „SolarWinds“ stebėjimo ir valdymo programinei įrangai „Orion“, leidžiant jiems apsimetinėti bet kokiu organizacijos vartotoju ir paskyra, įskaitant itin privilegijuotas paskyras. Teigiama, kad Rusija išnaudojo tiekimo grandinės sluoksnius, kad galėtų pasiekti vyriausybės agentūrų sistemas."

Susijęs straipsnis:
„SolarWinds“ įsilaužimas gali būti daug blogesnis nei tikėtasi

Būk suprastas «ataka prieš programinės įrangos tiekimo grandinę » prie akto, kuriuo Įsilaužėlis į teisėtą programinę įrangą įterpia kenkėjišką kodą, kad jis būtų paskleistas visur.

Taigi nemokami ir atviri projektai, kurie yra nemokami ir lengvai įgyvendinami, pvz „Sigstore“ jų vis labiau reikia mūsų dienomis.

Kaip išvengti atakų programinės įrangos tiekimo grandinėje?

Nors kitomis progomis mes siūlėme naudingų informacijos saugumo patarimų, praktiškų visiems ir bet kuriuo metu ar bet kurioje situacijoje, šie patarimai yra tiesiogiai skirti kuo labiau sušvelninti šio tipo atakas:

IT saugumo patarimai visiems ir bet kada
Susijęs straipsnis:
Kompiuterio saugumo patarimai visiems bet kada ir bet kur
  1. Tvarkykite visų naudojamų savo ir trečiųjų šalių programinės įrangos įrankių, tiek nemokamų, tiek atvirų, nuosavybės teise priklausančių ir uždarų, sąrašą.
  2. Žinokite apie žinomus ir būsimus visų naudojamų programų ir sistemų pažeidžiamumus, kad kuo greičiau pritaikytumėte oficialiai prieinamus pleistrus.
  3. Būkite informuotas apie nustatytus pažeidimus ar įvykdytas atakas savo ir trečiųjų šalių programinės įrangos tiekėjams, kad išvengtumėte netikėtų netikėtumų šiais būdais.
  4. Per trumpiausią laiką pašalinkite tas sistemas, paslaugas ir protokolus, kurie gali būti nereikalingi (nebereikalingi) arba pasenę (nenaudojami).
  5. Planuokite ir įgyvendinkite bendras strategijos ir saugos reikalavimus kartu su savo programinės įrangos tiekėjais, kad sumažintumėte jų riziką ir savo saugumo procesus.
  6. Vykdykite reguliarų kodo auditą. Atnaujinkite saugumo apžvalgas ir pakeitimų valdymo procedūras, reikalingas kiekvienam sukurtam ar naudojamam kodo komponentui.
  7. Atlikite įprastus įsiskverbimo bandymus, kad nustatytumėte galimus pavojus savo skaičiavimo platformoje.
  8. Įgyvendinkite IT saugos priemones, tokias kaip prieigos kontrolė ir dvigubo faktoriaus autentifikavimas (2FA), kad apsaugotumėte programinės įrangos kūrimo procesus.
  9. Paleiskite saugos programinę įrangą su keliais apsaugos sluoksniais. Ypač nuo įsibrovimų, virusų ir rasomware, kurie taip įprasti šiais laikais.
  10. Atnaujinkite atsarginį arba nenumatytų atvejų planą, kad galėtumėte saugiai prižiūrėkite svarbiausius savo programų, sistemų ir veiklos (procesų) duomenis ir sugebėkite atkurti bet kurį iš jų per trumpiausią laiką.

Daugiau apie „Sigstore“

Daugiau apie „Sigstore“

Galiausiai, kūrėjai „Sigstore“ jie šiek tiek paaiškina šio projekto veikimą taip:

"„Sigstore“ panaudoja esamas „x509 PKI“ technologijas ir skaidrumo registrus. Vartotojai generuoja trumpalaikes trumpalaikių raktų poras naudodamiesi „sigstore“ kliento įrankiais. Tada „Sigstore PKI“ paslauga pateiks pasirašymo sertifikatą, sugeneruotą po sėkmingo „OpenID connect“ suteikimo. Visi sertifikatai įrašomi į sertifikatų skaidrumo registrą, o programinės įrangos pasirašymo medžiagos pateikiamos parašų skaidrumo registre."

Daugiau apie „Sigstore“

"Naudojant skaidrumo įrašus įvedama pasitikėjimo šaknis vartotojo OpenID paskyroje. Taigi galime garantuoti, kad vartotojas, į kurį kreiptasi, pasirašymo metu valdė tapatybės paslaugų teikėjo sąskaitą. Kai pasirašymo operacija bus baigta, raktus bus galima išmesti, todėl nereikės papildomai valdyti raktų, nereikės jų atšaukti ar pasukti."

Norėdami gauti daugiau informacijos apie „Sigstore“ galite aplankyti savo oficiali svetainė „GitHub“ ir Bendruomenės (grupės) visuomenė apie "Google".

Santrauka: Įvairūs leidiniai

Santrauka

Mes to tikimės "naudingas mažas įrašas" apie  «Sigstore», įdomus ir naudingas „Linux Foundation“kuri yra a skaidrumo paslauga ir programinės įrangos parašas viešasis gėris ir ne pelno organizacija, sukurta pagerinti tiekimo grandinę Atvirojo kodo programinė įranga; yra labai įdomus ir naudingas visam «Comunidad de Software Libre y Código Abierto» ir labai prisideda skleidžiant nuostabią, gigantišką ir vis didėjančią ESG ekosistemą «GNU/Linux».

Kol kas, jei jums tai patiko publicación, Nesustok pasidalink su kitais savo mėgstamose svetainėse, kanaluose, socialinių tinklų ar susirašinėjimo sistemų grupėse ar bendruomenėse, pageidautina nemokamai, atvirai ir (arba) saugiau, TelegramsignalasMastadonas ar kitas iš Fediverse, pageidautina.

Nepamirškite apsilankyti mūsų pagrindiniame puslapyje «DesdeLinux» ištirti daugiau naujienų ir prisijungti prie mūsų oficialaus kanalo Telegrama iš DesdeLinuxNors, norėdami gauti daugiau informacijos, galite apsilankyti bet kuriame Internetinė biblioteka kaip „OpenLibra“ y jeditas, prieiti ir skaityti skaitmenines knygas (PDF) šia ar kitomis temomis.


Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.