Sigstore: Atklātā pirmkoda piegādes ķēdes uzlabošanas projekts

Sigstore: Atklātā pirmkoda piegādes ķēdes uzlabošanas projekts

Sigstore: Atklātā pirmkoda piegādes ķēdes uzlabošanas projekts

Šodien mēs parunāsim "Sigstore". Viens no daudzajiem bezmaksas un atklāti projekti aizbildnībā Linux fonds.

"Sigstore" Tas būtībā ir projekts, kas izveidots, lai sniegtu sabiedriska labuma, bezpeļņas pakalpojumus uzlabot piegādes ķēdi de atvērtā koda programmatūra atvieglot programmatūras kriptogrāfiskā paraksta pieņemšanu, kas pamatojas uz pārredzamības reģistrācijas tehnoloģijām.

Automobiļu klases Linux

"Sigstore", Tas nav vienīgais Linux Foundation projekts par ko mēs esam runājuši iepriekšējās reizēs. Vēl viens no tiem ir bijis Automobiļu klases Linux, kuru toreiz aprakstījām šādi:

"Automotive Grade (Quality) Linux ir atvērta pirmkoda sadarbības projekts, kas apvieno autoražotājus, pārdevējus un tehnoloģiju uzņēmumus, lai paātrinātu pilnīgi atvērtas programmatūras kaudzes izstrādi un pieņemšanu nākotnes automašīnām. Tā kā pamatā ir Linux, AGL jau no paša sākuma izstrādā atvērtu platformu, kas faktiski var kalpot kā nozares standarts, lai varētu ātri izstrādāt jaunas funkcijas un tehnoloģijas." Linux fonds: klāt Consumer Electronics Show 2020

saistīto rakstu:
Linux fonds: klāt Consumer Electronics Show 2020

saistīto rakstu:
Linux nokļūst ceļā, pateicoties Automotive Grade Linux

Vēlāk nākamajās publikācijās mēs pievērsīsimies citiem projektiem, bet tiem, kas vēlas dažus no tiem izpētīt paši, viņi to var izdarīt, izmantojot šo saiti: Linux Foundation projekti.

Sigstore: Linux Foundation projekts

Sigstore: Linux Foundation projekts

Kas ir Sigstore?

Pēc viņa paša teiktā Sigstore oficiālā vietne, tas pats ir:

"Projekts, kas izveidots ar mērķi sniegt bezpeļņas sabiedriskā labuma pakalpojumu, lai uzlabotu atvērtā pirmkoda programmatūras piegādes ķēdi, veicinot programmatūras kriptogrāfiskā paraksta pieņemšanu, ko atbalsta pārredzamības reģistrācijas tehnoloģijas. Turklāt tas mēģina apmācīt programmatūras izstrādātājus droši parakstīt programmatūras artefaktus, piemēram, izlaišanas failus, konteineru attēlus, bināros failus, materiālu sarakstu manifestus un daudz ko citu."

Turklāt šī projekta mērķis ir nodrošināt, ka:

"Parakstītie materiāli tiek glabāti publiskā reģistrā, kas ir drošs pret viltojumiem."

Kāpēc Sigstore ir svarīga?

Šis projekts, tā rīki un dalībnieki cenšas izvairīties «uzbrukumi programmatūras piegādes ķēdei », piemēram, kas notika ar SolarWinds un citi pēdējā laikā labi zināmi.

"Microsoft paziņoja, ka hakeri ir apdraudējuši SolarWinds Orion uzraudzības un pārvaldības programmatūru, ļaujot viņiem atdarināt jebkuru esošo lietotāju un kontu organizācijā, ieskaitot īpaši privileģētus kontus. Tiek apgalvots, ka Krievija ir izmantojusi piegādes ķēdes slāņus, lai piekļūtu valdības aģentūru sistēmām."

saistīto rakstu:
SolarWinds uzlaušana varētu būt daudz sliktāka, nekā gaidīts

Esi saprotams ar «uzbrukums programmatūras piegādes ķēdei » darbībai, ar kuru hakeris ievieto ļaunprātīgu kodu likumīgā programmatūrā, lai to izplatītu visur.

Tādējādi bezmaksas / atvērti projekti, kas ir bezmaksas un viegli īstenojami, piemēram, "Sigstore" tie mūsdienās ir arvien vairāk nepieciešami.

Kā novērst uzbrukumus programmatūras piegādes ķēdei?

Lai gan citos gadījumos mēs esam piedāvājuši dažus noderīgus informācijas drošības padomus, kas ir praktiski ikvienam un jebkurā brīdī vai situācijā, šie padomi ir tieši vērsti uz šāda veida uzbrukumu mazināšanu pēc iespējas vairāk:

saistīto rakstu:
Datoru drošības padomi ikvienam jebkurā laikā un vietā
  1. Uzturiet visu izmantoto pašu un trešo personu programmatūras rīku (gan bezmaksas, gan atvērtu, gan patentētu, gan slēgtu) uzskaiti.
  2. Jāapzinās visas zināmās un turpmākās visu izmantoto lietojumprogrammu un sistēmu ievainojamības, lai pēc iespējas ātrāk lietotu oficiāli pieejamos ielāpus.
  3. Esiet informēts par atklātajiem pārkāpumiem vai veiktajiem uzbrukumiem pašu un trešo pušu programmatūras nodrošinātājiem, lai šādā veidā izvairītos no negaidītiem pārsteigumiem.
  4. Pēc iespējas īsākā laikā izslēdziet tās sistēmas, pakalpojumus un protokolus, kas var būt lieki (nevajadzīgi) vai novecojuši (neizmantoti).
  5. Plānojiet un īstenojiet kopīgas stratēģijas un drošības prasības kopā ar programmatūras nodrošinātājiem, lai samazinātu IT risku no tiem un jūsu pašu drošības procesiem.
  6. Veiciet regulāras koda pārbaudes. Atjauniniet drošības pārskatus un mainiet kontroles procedūras, kas nepieciešamas katram izveidotā vai izmantotā koda komponentam.
  7. Veiciet regulārus iespiešanās testus, lai identificētu potenciālos apdraudējumus savā skaitļošanas platformā.
  8. Īstenojiet IT drošības pasākumus, piemēram, piekļuves kontroli un dubultfaktoru autentifikāciju (2FA), lai aizsargātu programmatūras izstrādes procesus.
  9. Palaidiet drošības programmatūru ar vairākiem aizsardzības slāņiem. Īpaši pret ielaušanos, vīrusiem un rasomware, kas mūsdienās ir tik izplatīta.
  10. Lai to izdarītu, atjauniniet dublējuma vai ārkārtas rīcības plānu droši uzturēt svarīgus datus par jūsu lietojumprogrammām, sistēmām un darbībām (procesiem) un spēt tos atgūt pēc iespējas īsākā laikā.

Vairāk par Sigstore

Vairāk par Sigstore

Visbeidzot "Sigstore" viņi nedaudz izskaidro šī projekta darbību šādā veidā:

"Sigstore izmanto esošās x509 PKI tehnoloģijas un pārredzamības reģistrus. Lietotāji ģenerē īslaicīgus īslaicīgu atslēgu pārus, izmantojot sigstore klienta rīkus. Pēc tam sigstore PKI pakalpojums nodrošinās parakstīšanas sertifikātu, kas izveidots pēc veiksmīgas OpenID savienojuma piešķiršanas. Visi sertifikāti tiek ierakstīti sertifikātu pārredzamības reģistrā, un programmatūras parakstīšanas materiāli tiek iesniegti parakstu pārredzamības reģistrā."

Vairāk par Sigstore

"Pārredzamības ierakstu izmantošana ievieš uzticības sakni lietotāja OpenID kontā. Tādējādi mums var būt garantijas, ka parakstīšanas brīdī lietotājs, par kuru iesniegts pieprasījums, kontrolēja identitātes pakalpojumu sniedzēja kontu. Kad parakstīšanas darbība ir pabeigta, atslēgas var izmest, novēršot nepieciešamību pēc papildu atslēgu pārvaldības vai atsaukšanas vai pagriešanas nepieciešamību."

Papildinformāciju par "Sigstore" jūs varat apmeklēt savu oficiālā vietne vietnē GitHub un Kopienas (grupas) sabiedrība uz google.

Kopsavilkums: Dažādas publikācijas

Kopsavilkums

Mēs to ceram "noderīga maz ziņa" uz  «Sigstore», interesants un noderīgs Linux fondskas ir a pārredzamības pakalpojums un programmatūras paraksts sabiedriskais labums un bezpeļņas uzņēmums, kas izveidots uzlabot piegādes ķēdi Atvērtā koda programmatūra; ir liela interese un lietderība kopumā «Comunidad de Software Libre y Código Abierto» un liels ieguldījums brīnišķīgās, gigantiskās un augošās EOS ekosistēmas izplatībā «GNU/Linux».

Pagaidām, ja jums tas patika publicación, Neapstājies padalies ar to kopā ar citiem jūsu iecienītākajās vietnēs, kanālos, sociālo tīklu vai ziņojumapmaiņas sistēmu grupās vai kopienās, vēlams bez maksas, atvērtā un / vai drošākā veidā TelegrammaSignalizētMastodonts vai cita no Fediverse, vēlams.

Un atcerieties apmeklēt mūsu mājas lapu vietnē «FromLinux» izpētīt vairāk jaunumu, kā arī pievienoties mūsu oficiālajam kanālam Telegramma no DesdeLinuxLai gan, lai iegūtu vairāk informācijas, jūs varat apmeklēt jebkuru Tiešsaistes bibliotēka kā OpenLibra y JedIT, lai piekļūtu un lasītu digitālās grāmatas (PDF) par šo vai citām tēmām.


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

Esi pirmais, kas komentārus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.