Сигстор: Проект за подобрување на синџирот на снабдување со отворен извор

Сигстор: Проект за подобрување на синџирот на снабдување со отворен извор

Денес, ќе разговараме за „Сигстор“. Еден од многуте, од бесплатни и отворени проекти под покровителство на Фондација Linux.

„Сигстор“ Во суштина тоа е проект создаден за да обезбеди услуга на јавно добро, непрофитно, до подобрување на синџирот на снабдување de софтвер со отворен извор олеснување на усвојувањето на софтверски криптографски потпис поддржан од технологии за регистрација на транспарентност.

„Сигстор“, Не е единствената Проект за фондација Linux за што зборувавме во претходни прилики. Друг од нив бил Линукс за автомобилско одделение, што во тоа време го опишуваме како што следува:

"Linux Automotive Grade (Quality) е проект за соработка со отворен извор што ги обединува производителите на автомобили, продавачите и технолошките компании за да се забрза развојот и усвојувањето на целосно отворен софтверски куп за автомобилот во иднина. Со Linux во своето јадро, AGL развива отворена платформа од темел што може да послужи како де факто индустриски стандард за да овозможи брз развој на нови карактеристики и технологии." Фондација Linux: присутна на саемот за потрошувачка електроника 2020

Поврзана статија:

Фондација Linux: присутна на саемот за потрошувачка електроника 2020

Поврзана статија:

Линукс се најде на патот благодарение на Линукс за автомобили

Подоцна, во идните публикации ќе се осврнеме на други проекти, но за оние кои сакаат сами да истражат некои од нив, тие можат да го сторат тоа преку следниот линк: Проекти за фондација Linux.

Сигстор: Проект на Фондацијата Линукс

Што е Сигстор?

Според самиот тој Официјална веб-страница на Сигстор, истото е:

"Проект создаден со цел да обезбеди непрофитна јавна добра услуга за подобрување на ланецот за снабдување софтвер со отворен извор преку олеснување на усвојувањето на софтверскиот криптографски потпис, поддржан од технологии за регистрација на транспарентност. Покрај тоа, таа се обидува да ги обучи развивачите на софтвер за безбедно потпишување артефакти на софтвер, како што се датотеки за ослободување, слики од контејнери, бинари, манифести на предлог-материјали и многу повеќе."

Покрај тоа, овој проект се обидува да осигури дека:

"Потпишаните материјали се чуваат во јавна книга заштитена од местење."

Зошто е важен Сигстор?

Овој проект, неговите алатки и членови, се обидуваат да го избегнат «напади врз синџирот на снабдување на софтвер », како што е, со што се случило SolarWinds и други добро познати во последно време.

"„Мајкрософт“ соопшти дека хакерите го компромитирале софтверот за следење и управување со „Сорион Виндс“ Орион, дозволувајќи им да се имитираат каков било постоечки корисник и сметка во организацијата, вклучително и високо привилегирани сметки. За Русија се вели дека ги искористила слоевите на синџирот на снабдување за пристап до системите на владината агенција."

Поврзана статија:

Хакерот на SolarWinds може да биде многу полош отколку што се очекуваше

Биди разбран од «напад врз синџирот на снабдување на софтвер » на чинот со кој, Хакер внесува малициозен код во легитимен софтвер за да го шири насекаде.

Оттука, бесплатни / отворени проекти кои се бесплатни и лесни за реализација, како на пр „Сигстор“ тие се сè повеќе неопходни во нашево време.

Како да спречите напади врз ланецот за снабдување на софтвер?

Иако, во други прилики, понудивме неколку корисни совети за безбедност на информации, практични за секого и во кое било време или ситуација, следниве совети се директно насочени кон ублажување на овој вид напади што е можно повеќе:

Поврзана статија:

Совети за компјутерска безбедност за секого во секое време, каде било

1. Одржувајте попис на сите сопствени и трети лица софтверски алатки, и бесплатни и отворени, и комерцијални и затворени, што се користат.
2. Бидете внимателни кон познатите и идните ранливости на сите користени апликации и системи, за да ги примените што е можно побрзо закрпите што се официјално достапни.
3. Бидете информирани за откриени прекршувања или извршени напади, на сопственици и на трети даватели на софтвер, за да избегнете неочекувани изненадувања на овие начини.
4. Елиминирајте ги во најкус можен рок оние системи, услуги и протоколи што можат да бидат излишни (непотребни) или застарени (неискористени).
5. Планирајте и спроведете заеднички стратегии и безбедносни барања со вашите даватели на софтвер, за да го минимизирате ИТ ризикот од нив и вашите сопствени безбедносни процеси.
6. Извршете редовни ревизии на кодови. И задржете ги ажурираните безбедносни прегледи и процедурите за контрола на промените, потребни за секоја компонента на креираниот или користениот код.
7. Изведете рутински тестови за пенетрација за да ги идентификувате потенцијалните опасности на вашата компјутерска платформа.
8. Спроведување на ИТ безбедносни мерки како што се контроли на пристап и автентикација на двоен фактор (2FA) за да се заштитат процесите за развој на софтвер.
9. Извршете безбедносен софтвер со повеќе слоеви на заштита. Особено против упади, вируси и расомвари, толку често овие денови.
10. Бидете во тек со вашите резервни копии или планови за непредвидени ситуации, за да безбедно одржувајте ги виталните податоци за вашите апликации, системи и активности (процеси) и бидете во можност да вратите која било од нив, во најкус можен рок.
    

Повеќе за Сигстор

Конечно, развивачите на „Сигстор“ тие малку ја објаснуваат работата на овој проект на следниот начин:

"Сигстор ги искористува постојните x509 PKI технологии и регистри за транспарентност. Корисниците генерираат краткотрајни ефемерни парови на клучеви користејќи ги алатките за клиенти во Сигстор. Сигстор услугата PKI потоа ќе обезбеди потврда за потпишување генерирана по успешен грант за OpenID конекција. Сите сертификати се запишуваат во регистарот на транспарентност на сертификати, а материјалите за потпишување на софтвер се доставуваат до регистарот на транспарентност на потписи."

"Користењето евиденција за транспарентност воведува корен на доверба во корисничката сметка OpenID. Така, можеме да имаме гаранции дека корисникот за кој се тврди имал контрола врз сметката на давателот на услуги за идентитет за време на потпишувањето. Откако ќе заврши операцијата за потпишување, клучевите може да се отфрлат, со што се елиминира секоја потреба за дополнително управување со клучеви или потреба за отповикување или ротација."

За повеќе информации за „Сигстор“ можете да ја посетите вашата официјална веб-страница на GitHub и Јавност во заедницата (група) на Google.

Краток преглед

Се надеваме на ова "корисен мал пост" на  «Sigstore», интересен и корисен проект на Фондација Linuxшто е а услуга за транспарентност и потпис на софтвер јавно добро и непрофитно, создадено за подобрување на синџирот на снабдување софтвер со отворен извор; е од голем интерес и корисност, за целата «Comunidad de Software Libre y Código Abierto» и од голем придонес кон дифузијата на прекрасниот, гигантски и растечки еко-систем на апликации на «GNU/Linux».

Засега, ако ви се допадна ова publicación, Не запирај споделете го со други, на вашите омилени веб-страници, канали, групи или заедници на социјални мрежи или системи за пораки, по можност бесплатни, отворени и / или побезбедни како Телеграма, Сигнал, Мастодон или друг од Федерален, по можност.

И запомнете да ја посетите нашата почетна страница на «Од Линукс» за да истражите повеќе новости, како и да се придружите на нашиот официјален канал на Телеграма од DesdeLinux. Додека, за повеќе информации, можете да ја посетите која било Интернет библиотека како ОпенЛибра y једит, за пристап и читање на дигитални книги (PDF) на оваа тема или други.