Šiandien mes kalbėsime apie „Sigstore“. Vienas iš daugelio nemokami ir atviri projektai globojamas „Linux Foundation“.
„Sigstore“ Iš esmės tai projektas, sukurtas siekiant teikti viešojo gėrio, ne pelno paslaugas pagerinti tiekimo grandinę de atvirojo kodo programinė įranga palengvinti programinės įrangos kriptografinio parašo, paremto skaidrumo registravimo technologijomis, priėmimą.
„Sigstore“, Tai ne vienintelis „Linux Foundation“ projektas apie kuriuos kalbėjome ankstesnėmis progomis. Dar vienas jų buvo „Automotive Grade Linux“, kurį tuo metu apibūdiname taip:
"„Automotive Grade“ (kokybė) „Linux“ yra atviro kodo bendradarbiavimo projektas, kuris suburia automobilių gamintojus, pardavėjus ir technologijų įmones, kad paspartintų visiškai atviros programinės įrangos paketo kūrimą ir priėmimą ateities automobiliams. Turėdama savo „Linux“ pagrindą, AGL kuria atvirą platformą nuo pat pradžių, kuri gali būti de facto pramonės standartas, leidžiantis greitai kurti naujas funkcijas ir technologijas." „Linux Foundation“: pristatoma „Consumer Electronics Show 2020“
Vėliau būsimose publikacijose kalbėsime apie kitus projektus, tačiau tiems, kurie nori patys kai kuriuos iš jų ištirti, jie gali tai padaryti naudodamiesi šia nuoroda: „Linux Foundation“ projektai.
„Sigstore“: „Linux Foundation“ projektas
Kas yra „Sigstore“?
Pasak jo paties „Sigstore“ oficiali svetainė, tas pats yra:
"Projektas, sukurtas siekiant teikti ne pelno viešosios gėrybės paslaugą, siekiant pagerinti atvirojo kodo programinės įrangos tiekimo grandinę palengvinant programinės įrangos kriptografinio parašo priėmimą, palaikomą skaidrumo registravimo technologijomis. Be to, ji bando mokyti programinės įrangos kūrėjus saugiai pasirašyti programinės įrangos artefaktus, tokius kaip išleidimo failai, talpyklų vaizdai, dvejetainiai failai, medžiagų aprašai ir kt."
Be to, šiuo projektu siekiama užtikrinti, kad:
"Pasirašyta medžiaga saugoma viešame įraše, kuriame saugoma klastotė."
Kodėl „Sigstore“ yra svarbus?
Šio projekto, jo priemonių ir narių siekiama išvengti «atakos prieš programinės įrangos tiekimo grandinę », pavyzdžiui, kas nutiko SolarWinds ir kiti pastaraisiais laikais gerai žinomi.
"„Microsoft“ teigė, kad įsilaužėliai pakenkė „SolarWinds“ stebėjimo ir valdymo programinei įrangai „Orion“, leidžiant jiems apsimetinėti bet kokiu organizacijos vartotoju ir paskyra, įskaitant itin privilegijuotas paskyras. Teigiama, kad Rusija išnaudojo tiekimo grandinės sluoksnius, kad galėtų pasiekti vyriausybės agentūrų sistemas."
Būk suprastas «ataka prieš programinės įrangos tiekimo grandinę » prie akto, kuriuo Įsilaužėlis į teisėtą programinę įrangą įterpia kenkėjišką kodą, kad jis būtų paskleistas visur.
Taigi nemokami ir atviri projektai, kurie yra nemokami ir lengvai įgyvendinami, pvz „Sigstore“ jų vis labiau reikia mūsų dienomis.
Kaip išvengti atakų programinės įrangos tiekimo grandinėje?
Nors kitomis progomis mes siūlėme naudingų informacijos saugumo patarimų, praktiškų visiems ir bet kuriuo metu ar bet kurioje situacijoje, šie patarimai yra tiesiogiai skirti kuo labiau sušvelninti šio tipo atakas:
- Tvarkykite visų naudojamų savo ir trečiųjų šalių programinės įrangos įrankių, tiek nemokamų, tiek atvirų, nuosavybės teise priklausančių ir uždarų, sąrašą.
- Žinokite apie žinomus ir būsimus visų naudojamų programų ir sistemų pažeidžiamumus, kad kuo greičiau pritaikytumėte oficialiai prieinamus pleistrus.
- Būkite informuotas apie nustatytus pažeidimus ar įvykdytas atakas savo ir trečiųjų šalių programinės įrangos tiekėjams, kad išvengtumėte netikėtų netikėtumų šiais būdais.
- Per trumpiausią laiką pašalinkite tas sistemas, paslaugas ir protokolus, kurie gali būti nereikalingi (nebereikalingi) arba pasenę (nenaudojami).
- Planuokite ir įgyvendinkite bendras strategijos ir saugos reikalavimus kartu su savo programinės įrangos tiekėjais, kad sumažintumėte jų riziką ir savo saugumo procesus.
- Vykdykite reguliarų kodo auditą. Atnaujinkite saugumo apžvalgas ir pakeitimų valdymo procedūras, reikalingas kiekvienam sukurtam ar naudojamam kodo komponentui.
- Atlikite įprastus įsiskverbimo bandymus, kad nustatytumėte galimus pavojus savo skaičiavimo platformoje.
- Įgyvendinkite IT saugos priemones, tokias kaip prieigos kontrolė ir dvigubo faktoriaus autentifikavimas (2FA), kad apsaugotumėte programinės įrangos kūrimo procesus.
- Paleiskite saugos programinę įrangą su keliais apsaugos sluoksniais. Ypač nuo įsibrovimų, virusų ir rasomware, kurie taip įprasti šiais laikais.
- Atnaujinkite atsarginį arba nenumatytų atvejų planą, kad galėtumėte saugiai prižiūrėkite svarbiausius savo programų, sistemų ir veiklos (procesų) duomenis ir sugebėkite atkurti bet kurį iš jų per trumpiausią laiką.
Daugiau apie „Sigstore“
Galiausiai, kūrėjai „Sigstore“ jie šiek tiek paaiškina šio projekto veikimą taip:
"„Sigstore“ panaudoja esamas „x509 PKI“ technologijas ir skaidrumo registrus. Vartotojai generuoja trumpalaikes trumpalaikių raktų poras naudodamiesi „sigstore“ kliento įrankiais. Tada „Sigstore PKI“ paslauga pateiks pasirašymo sertifikatą, sugeneruotą po sėkmingo „OpenID connect“ suteikimo. Visi sertifikatai įrašomi į sertifikatų skaidrumo registrą, o programinės įrangos pasirašymo medžiagos pateikiamos parašų skaidrumo registre."
"Naudojant skaidrumo įrašus įvedama pasitikėjimo šaknis vartotojo OpenID paskyroje. Taigi galime garantuoti, kad vartotojas, į kurį kreiptasi, pasirašymo metu valdė tapatybės paslaugų teikėjo sąskaitą. Kai pasirašymo operacija bus baigta, raktus bus galima išmesti, todėl nereikės papildomai valdyti raktų, nereikės jų atšaukti ar pasukti."
Norėdami gauti daugiau informacijos apie „Sigstore“ galite aplankyti savo oficiali svetainė „GitHub“ ir Bendruomenės (grupės) visuomenė apie "Google".
Santrauka
Mes to tikimės "naudingas mažas įrašas" apie «Sigstore»
, įdomus ir naudingas „Linux Foundation“kuri yra a skaidrumo paslauga ir programinės įrangos parašas viešasis gėris ir ne pelno organizacija, sukurta pagerinti tiekimo grandinę Atvirojo kodo programinė įranga; yra labai įdomus ir naudingas visam «Comunidad de Software Libre y Código Abierto»
ir labai prisideda skleidžiant nuostabią, gigantišką ir vis didėjančią ESG ekosistemą «GNU/Linux»
.
Kol kas, jei jums tai patiko publicación
, Nesustok pasidalink su kitais savo mėgstamose svetainėse, kanaluose, socialinių tinklų ar susirašinėjimo sistemų grupėse ar bendruomenėse, pageidautina nemokamai, atvirai ir (arba) saugiau, Telegram, signalas, Mastadonas ar kitas iš Fediverse, pageidautina.
Nepamirškite apsilankyti mūsų pagrindiniame puslapyje «DesdeLinux» ištirti daugiau naujienų ir prisijungti prie mūsų oficialaus kanalo Telegrama iš DesdeLinux. Nors, norėdami gauti daugiau informacijos, galite apsilankyti bet kuriame Internetinė biblioteka kaip „OpenLibra“ y jeditas, prieiti ir skaityti skaitmenines knygas (PDF) šia ar kitomis temomis.