Sigstore: Projek untuk meningkatkan rantaian bekalan sumber terbuka
Hari ini, kita akan membincangkan "Sigstore". Salah satu daripada banyak, dari projek percuma dan terbuka di bawah bimbingan Yayasan Linux.
"Sigstore" Ini pada dasarnya adalah projek yang dibuat untuk menyediakan perkhidmatan kebaikan awam, bukan keuntungan, kepada memperbaiki rantaian bekalan de perisian sumber terbuka memudahkan penggunaan tanda tangan kriptografi perisian yang disokong oleh teknologi pendaftaran ketelusan.
"Sigstore", Bukan satu-satunya Projek Linux Foundation yang telah kita bicarakan pada kesempatan sebelumnya. Lain dari mereka telah Automatik Gred Linux, yang kami gambarkan pada masa itu sebagai berikut:
"Automotive Grade (Quality) Linux adalah projek kolaborasi sumber terbuka yang menyatukan pengeluar kenderaan, vendor dan syarikat teknologi untuk mempercepat pengembangan dan penerapan tumpukan perisian terbuka sepenuhnya untuk kereta masa depan. Dengan inti Linux, AGL sedang mengembangkan platform terbuka dari bawah ke atas yang dapat berfungsi sebagai standard industri de facto untuk memungkinkan pengembangan ciri dan teknologi baru yang pesat." Linux Foundation: Hadir di Pameran Elektronik Pengguna 2020
Kemudian, dalam penerbitan akan datang kami akan menangani projek-projek lain, tetapi bagi mereka yang ingin menerokainya sendiri, mereka dapat melakukannya melalui pautan berikut: Projek Linux Foundation.
Sigstore: Projek Yayasan Linux
Apa itu Sigstore?
Menurut dirinya Laman web rasmi Sigstore, yang sama adalah:
"Sebuah projek yang dibuat dengan objektif untuk menyediakan perkhidmatan awam yang bukan untung untuk meningkatkan rantaian bekalan perisian sumber terbuka dengan memfasilitasi penggunaan tanda tangan kriptografi perisian, yang disokong oleh teknologi pendaftaran ketelusan. Di samping itu, ia cuba melatih pembangun perisian untuk menandatangani artifak perisian dengan selamat seperti melepaskan fail, gambar bekas, binari, manifes bil bahan, dan banyak lagi."
Di samping itu, projek ini bertujuan untuk memastikan bahawa:
"Bahan-bahan yang ditandatangani disimpan dalam rekod awam tanpa bukti."
Mengapa Sigstore penting?
Projek ini, alat dan anggotanya, berusaha mengelakkan «serangan pada rantaian bekalan perisian », seperti, apa yang berlaku dengan SolarWinds dan lain-lain yang terkenal sejak kebelakangan ini.
"Microsoft mengatakan bahawa penggodam telah mengganggu perisian pemantauan dan pengurusan SolarWinds Orion, yang membolehkan mereka menyamar sebagai pengguna dan akaun yang ada dalam organisasi, termasuk akaun yang sangat istimewa. Rusia dikatakan telah mengeksploitasi lapisan rantai bekalan untuk mengakses sistem agensi pemerintah."
Perlu difahami oleh «menyerang rantaian bekalan perisian » kepada tindakan yang dengannya, Seorang penggodam memasukkan kod jahat ke dalam perisian yang sah untuk menyebarkannya ke mana sahaja.
Oleh itu, projek percuma / terbuka yang percuma dan mudah dilaksanakan, seperti "Sigstore" mereka semakin diperlukan pada zaman kita.
Bagaimana untuk mencegah serangan ke rantai bekalan perisian?
Walaupun, pada kesempatan lain, kami telah menawarkan beberapa nasihat keselamatan maklumat yang berguna, praktikal untuk semua orang dan pada bila-bila masa atau situasi, petua berikut secara langsung difokuskan untuk mengurangkan serangan jenis ini sebanyak mungkin:
- Menyimpan inventori semua alat perisian milik sendiri dan pihak ketiga, baik yang terbuka dan terbuka, serta milik dan tertutup, yang digunakan.
- Sadarilah kelemahan yang diketahui dan akan datang, dari semua aplikasi dan sistem yang digunakan, untuk menerapkan secepat mungkin tambalan yang tersedia secara rasmi.
- Tetap dimaklumkan mengenai pelanggaran yang dikesan atau serangan yang dilakukan, untuk memiliki dan penyedia perisian pihak ketiga, untuk mengelakkan kejutan yang tidak dijangka dengan cara ini.
- Hapuskan dalam waktu sesingkat mungkin, sistem, perkhidmatan dan protokol yang mungkin berlebihan (tidak perlu) atau usang (tidak terpakai).
- Rancang dan laksanakan strategi bersama dan keperluan keselamatan dengan penyedia perisian anda, untuk meminimumkan risiko IT dari mereka dan proses keselamatan anda sendiri.
- Jalankan audit kod biasa. Dan teruskan tinjauan keselamatan yang dikemas kini dan prosedur kawalan perubahan, yang diperlukan untuk setiap komponen kod yang dibuat atau digunakan.
- Lakukan ujian penembusan rutin untuk mengenal pasti potensi bahaya pada platform pengkomputeran anda.
- Laksanakan langkah-langkah keselamatan IT seperti kawalan akses dan pengesahan faktor berganda (2FA) untuk melindungi proses pembangunan perisian.
- Jalankan perisian keselamatan dengan pelbagai lapisan perlindungan. Terutama terhadap pencerobohan, virus dan rasomware, yang biasa berlaku pada masa ini.
- Pastikan cadangan atau rancangan luar jangkaan anda terkini, agar dapat selamat menyimpan data penting aplikasi, sistem dan aktiviti (proses) anda, dan dapat memulihkan salah satu daripadanya, dalam masa sesingkat mungkin.
Lebih banyak mengenai Kedai Sigst
Akhirnya, para pembangun "Sigstore" mereka menerangkan sedikit mengenai operasi projek ini dengan cara berikut:
"Kedai Sigst memanfaatkan teknologi PKI x509 dan daftar ketelusan yang ada. Pengguna menghasilkan pasangan kunci jangka pendek dengan menggunakan alat pelanggan sigstore. Perkhidmatan PKI sigstore kemudian akan memberikan sijil penandatanganan yang dihasilkan setelah pemberian sambungan OpenID yang berjaya. Semua sijil dicatatkan dalam pendaftaran ketelusan sijil dan bahan penandatangan perisian dihantar ke pendaftaran ketelusan tanda tangan."
"Menggunakan rekod ketelusan memperkenalkan asas kepercayaan pada akaun OpenID pengguna. Oleh itu, kita boleh mempunyai jaminan bahawa pengguna yang dituntut mengendalikan akaun penyedia perkhidmatan identiti semasa menandatangani. Setelah operasi menandatangani selesai, kunci dapat dibuang, menghilangkan keperluan untuk pengurusan kunci tambahan atau keperluan untuk pembatalan atau putaran."
Untuk maklumat lebih lanjut mengenai "Sigstore" anda boleh melawat anda laman web rasmi di GitHub dan Masyarakat (Kumpulan) awam pada Google.
Ringkasan
Kami harap ini "jawatan kecil yang berguna" pada «Sigstore», projek yang menarik dan berguna dari Yayasan Linuxiaitu a perkhidmatan ketelusan dan tandatangan perisian kebaikan awam dan bukan keuntungan, dibuat untuk memperbaiki rantaian bekalan perisian sumber terbuka; sangat menarik dan bermanfaat, untuk keseluruhannya «Comunidad de Software Libre y Código Abierto» dan memberi sumbangan besar kepada penyebaran ekosistem aplikasi yang hebat, raksasa dan berkembang «GNU/Linux».
Buat masa ini, jika anda menyukai ini publicación, Jangan berhenti kongsi dengan orang lain, di laman web, saluran, kumpulan atau komuniti rangkaian sosial atau sistem pesanan kegemaran anda, lebih baik percuma, terbuka dan / atau lebih selamat seperti Telegram, Isyarat, Mastodon atau yang lain dari Fediverse, lebih baik.
Dan ingat untuk mengunjungi laman utama kami di «DesdeLinux» untuk meneroka lebih banyak berita, serta menyertai saluran rasmi kami Telegram daripada DesdeLinux. Walaupun, untuk maklumat lebih lanjut, anda boleh mengunjungi mana-mana Perpustakaan dalam talian sebagai OpenLibra y jedit, untuk mengakses dan membaca buku digital (PDF) mengenai topik ini atau yang lain.