Програм хангамжийн гарал үүсэл, жинхэнэ эсэхийг шалгах үнэгүй үйлчилгээ болох Sigstore

Чөлөөт програм хангамжийн сүлжээг баталгаажуулахын тулд Линукс сан (нээлттэй эх сурвалжаар дамжуулан инновацийг дэмждэг ашгийн бус байгууллага) нь Red Hat, Google, Purdue их сургуулиудтай хамтран ажиллаж эхэлсэн програм зохиогчдод криптографийн гарын үсгийг хялбархан нэвтрүүлэхэд нь туслах шинэ төсөл.

Este шинэ төсөл нээлттэй эхийн програм хангамжийн үйлдвэрлэлийн нэвтрүүлэх түвшин улам бүр нэмэгдэж байгаа тул ил тод байдлын бичлэгийн технологиор дэмжигддэг. Sigstore нь олон нийтийн програм хангамжийн репозиторыг халаалтын код руу нийлүүлэлтийн сүлжээнд оруулахаас урьдчилан сэргийлэх зорилготой юм.

Sigstore програм хангамж хөгжүүлэгчид аюулгүй гарын үсэг зурах боломжийг олгоно хувилбарын файл, контейнерын зураг, хоёртын файл зэрэг програм хангамжийн олдворууд. Гарын үсэг зурсан зүйлийг хөндлөнгийн хамгаалалттай олон нийтийн сэтгүүлд хадгалдаг гэж дурдсан байдаг.

SigStore нь хөгжүүлэгчид нь ихэвчлэн харилцан адилгүй хандлага, өгөгдлийн формат дээр суурилсан програм хангамжийн гарал үүсэл, жинхэнэ байдлыг ойлгох, баталгаажуулах боломжийг олгохыг хичээдэг. Одоо байгаа шийдлүүд нь ихэвчлэн найдваргүй систем дээр хадгалагдсан "задрал" (хэш эсвэл хэш функцийн үр дүн) дээр суурилдаг бөгөөд энэ нь эвдэрч, хэш солилцоо, хэш функц, хэрэглэгчийн эсрэг чиглэсэн халдлага зэрэг янз бүрийн халдлагад хүргэж болзошгүй юм.

Үйлчилгээний хэрэглээ бүх програм хангамж хөгжүүлэгчид болон үйлдвэрлэгчдэд үнэ төлбөргүй байх болно, мөн SigStore нийгэмлэг нь sigstore-ийн код, үйлдлийн хэрэгслийг боловсруулж өгөх болно. Red Hat, Google, Purdue University нь уг төслийн үндэслэгч гишүүд юм.

"Sigstore нь бүх нээлттэй эхийн бүлгүүдэд өөрсдийн програм хангамжид гарын үсэг зурах боломжийг олгодог бөгөөд ил тод, шалгаж болохуйц програм хангамжийн сүлжээг бий болгох чадвар, бүрэн бүтэн байдал, олж мэдэх чадварыг хослуулдаг" гэж Red Hat CTO оффисын аюулгүй байдлын ахлах ажилтан Люк Хиндс хэлэв. "Энэхүү хамтын ажиллагааг Линуксийн сан дээр зохион байгуулснаар бид sigstore дахь ажлаа хурдасгаж, нээлттэй эхийн програм хангамж, хөгжүүлэлтийг үргэлжлүүлэн нэвтрүүлэх, үр нөлөөг нь дэмжих болно."

“Програм хангамжийн хэрэгжилтийг баталгаажуулах нь бид байгаа гэж бодож байгаа програмаа ажиллуулж байгаа эсэхээс эхлэх хэрэгтэй. sigstore нь нээлттэй эхийн програм хангамжийн сүлжээнд илүү их итгэл, ил тод байдлыг бий болгох сайхан боломжийг илэрхийлж байна "гэж Жош Аас хэллээ.

Орчин үеийн програм хангамжийн сүлжээ олон эрсдэлд өртөж байна гэж маргаж, Төсөлд одоо байгаа хэрэгслүүд гэж хэлсэн, түлхүүр гарын үсэг зурахаар биечлэн уулзаж байгаа хүмүүс, мөн удаан хугацаанд сайн ажилласан хүмүүс, газарзүйн хувьд тархан суурьшсан орчин үеийн орчинд цаашид хүрч чадахгүй.

Түүнчлэн, үүнийг дурдсан болно програм хангамжийн хувилбарын олдворуудыг криптограф байдлаар гарын үсэг зурдаг нээлттэй эхийн төслүүд тун цөөхөн байдаг. Энэ нь програм хангамжийн үйлчилгээ эрхлэгчдэд гол менежмент, гол буулт хийх, нийтийн түлхүүр, хэш олдворыг цуцлах, түгээхэд тулгардаг бэрхшээлүүдээс ихээхэн хамаарна. Энэ нь хэрэглэгчид аль түлхүүрүүдэд итгэхээ олж, гарын үсгээ баталгаажуулахын тулд шаардлагатай алхамуудыг сурч мэдэх ёстой гэсэн үг юм.

“Sigstore нь нээлттэй эхийн програм хангамжийн бүх хувилбарыг баталгаажуулж, хэрэглэгчид баталгаажуулах ажлыг хөнгөвчлөх зорилготой юм. Үүнийг vim-ээс гарахтай адил хялбар болгож чадна гэж найдаж байна "гэж Google-ийн нээлттэй эхийн програм хангамжийн аюулгүй байдлын багийн програм хангамжийн инженер Дан Лоренц хэллээ. 

Өөр нэг асуудал бол хэш болон нийтийн түлхүүрүүдийг хэрхэн хуваарилдаг вэ? Тэд ихэвчлэн хакердсан байж болзошгүй вэбсайтууд эсвэл нийтийн git репозиторид байрлах README файлд хадгалагддаг.

SigStore нь нээлттэй, баталгаажсан нийтийн ил тод байдлын бүртгэлээс авсан итгэлийн үндэс бүхий богино хугацааны түр зуурын түлхүүрүүдийг ашиглан эдгээр асуудлыг шийдвэрлэхийг эрмэлздэг. Шинэ үйлчилгээ нь хөгжүүлэгчид болон хэрэглэгчдэд програм хангамжийн гарал үүсэл, жинхэнэ чанарыг хамгийн бага зардалтайгаар ойлгож, баталгаажуулахад туслах болно.

“Sigstore шиг системийн талаар би маш их баяртай байна. Програм хангамжийн экосистемд нийлүүлэлтийн гинжин хэлхээний байдлын талаар мэдээлэх ийм систем яаралтай шаардлагатай байна. Програм хангамжийн эх үүсвэр, өмчлөлийн талаархи бүх асуултанд хариулдаг sigstore-ийн тусламжтайгаар бид програм хангамжийн чиглэл, хэрэглэгчид, дагаж мөрдөх (хууль ёсны болон бусад), эрүүгийн сүлжээг таних, чухал програм хангамжийн дэд бүтцийг хамгаалах талаар асуулт асууж эхлэх боломжтой гэж би бодож байна. "Гэж Сантьяго Торрес-Ариас хэлэв.

 


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.