Sigstore: Prosjekt for å forbedre forsyningskjeden med åpen kildekode

Sigstore: Prosjekt for å forbedre forsyningskjeden med åpen kildekode

Sigstore: Prosjekt for å forbedre forsyningskjeden med åpen kildekode

I dag skal vi snakke om "Sigstore". En av mange, av gratis og åpne prosjekter under veiledning av Linux Foundation.

"Sigstore" Det er i utgangspunktet et prosjekt som er laget for å tilby en almennyttig almennyttig tjeneste forbedre forsyningskjeden de open source programvare forenkle adopsjonen av programvarekryptografisk signatur støttet av transparensregistreringsteknologier.

Automotive Grade Linux

"Sigstore", Det er ikke den eneste Linux Foundation-prosjekt som vi har snakket om ved tidligere anledninger. En annen av dem har vært Automotive Grade Linux, som vi beskriver den gangen som følger:

"Automotive Grade (Quality) Linux er et samarbeidsprosjekt med åpen kildekode som samler bilprodusenter, leverandører og teknologibedrifter for å akselerere utviklingen og adopsjonen av en helt åpen programvarestabel for fremtidens bil. Med Linux i kjernen utvikler AGL en åpen plattform fra grunnen av som kan tjene som de facto industristandard for å muliggjøre en rask utvikling av nye funksjoner og teknologier." Linux Foundation: Til stede på Consumer Electronics Show 2020

Relatert artikkel:
Linux Foundation: Til stede på Consumer Electronics Show 2020

Relatert artikkel:
Linux treffer veien takket være Automotive Grade Linux

Senere, i fremtidige publikasjoner, vil vi ta for oss andre prosjekter, men for de som ønsker å utforske noen av dem selv, kan de gjøre det via følgende lenke: Linux Foundation-prosjekter.

Sigstore: Et prosjekt fra Linux Foundation

Sigstore: Et prosjekt fra Linux Foundation

Hva er Sigstore?

Ifølge ham selv Sigstores offisielle nettside, det samme er:

"Et prosjekt som ble opprettet med det formål å tilby en almennyttig offentlig tjeneste for å forbedre forsyningskjeden for åpen kildekode ved å legge til rette for adopsjon av programvarens kryptografiske signatur, støttet av transparensregistreringsteknologier. I tillegg prøver den å trene programvareutviklere til å undertegne programvareartikler som frigjøringsfiler, containerbilder, binærfiler, bilag og mer."

I tillegg søker dette prosjektet å sikre at:

"De signerte materialene lagres i en manipulasjonssikker offentlig journal."

Hvorfor er Sigstore viktig?

Dette prosjektet, dets verktøy og medlemmer, søker å unngå «angrep på programvareforsyningskjeden », for eksempel, hva som skjedde med Solarwinds og andre kjent i nyere tid.

"Microsoft sa at hackere kompromitterte SolarWinds 'Orion-programvare for overvåking og styring, slik at de kunne utgi seg for enhver eksisterende bruker og konto i organisasjonen, inkludert høyt privilegerte kontoer. Russland sies å ha utnyttet lag av forsyningskjeden for å få tilgang til myndighetssystemer."

Relatert artikkel:
SolarWinds-hacket kan være mye verre enn forventet

Bli forstått av «angrep på programvareforsyningskjeden » til den handling som, en hacker setter inn skadelig kode i legitim programvare for å spre den overalt.

Derfor gratis / åpne prosjekter som er gratis og enkle å gjennomføre, for eksempel "Sigstore" de blir stadig mer nødvendige i vår tid.

Hvordan forhindre angrep på programvarekjeden?

Selv om vi ved andre anledninger har tilbudt noen nyttige råd om informasjonssikkerhet, praktiske for alle og når som helst eller i enhver situasjon, er følgende tips direkte fokusert på å redusere denne typen angrep så mye som mulig:

Relatert artikkel:
Datasikkerhetstips for alle når som helst, hvor som helst
  1. Opprettholde en oversikt over alle egne og tredjeparts programvareverktøy, både gratis og åpne, og proprietære og lukkede, som brukes.
  2. Vær kjent med kjente og fremtidige sårbarheter, av alle applikasjoner og systemer som brukes, for å bruke så snart som mulig oppdateringene som er offisielt tilgjengelige.
  3. Hold deg informert om brudd oppdaget eller angrep utført, til egne og tredjeparts programvareleverandører, for å unngå uventede overraskelser på disse måtene.
  4. Eliminer på kortest mulig tid de systemene, tjenestene og protokollene som kan være overflødige (unødvendige) eller foreldede (ubrukt).
  5. Planlegg og implementer felles strategier og sikkerhetskrav med programvareleverandørene dine, for å minimere IT-risikoen fra dem og dine egne sikkerhetsprosesser.
  6. Kjør vanlige koderevisjoner. Og hold oppdaterte sikkerhetsgjennomganger og endre kontrollprosedyrer som kreves for hver komponent i koden som er opprettet eller brukt.
  7. Utfør rutinemessige penetrasjonstester for å identifisere potensielle farer på databehandlingsplattformen.
  8. Implementere IT-sikkerhetstiltak, for eksempel tilgangskontroller og dobbelfaktorautentisering (2FA) for å beskytte programvareutviklingsprosesser.
  9. Kjør sikkerhetsprogramvare med flere lag med beskyttelse. Spesielt mot inntrenging, virus og rasomwares, så vanlig i disse dager.
  10. Hold sikkerhetskopien eller beredskapsplanen oppdatert for å trygt vedlikeholde viktige data for applikasjonene, systemene og aktivitetene dine (prosessene), og være i stand til å gjenopprette noen av dem på kortest mulig tid.

Mer om Sigstore

Mer om sigstore

Endelig utviklerne av "Sigstore" de forklarer litt driften av dette prosjektet på følgende måte:

"sigstore utnytter eksisterende x509 PKI-teknologier og gjennomsiktighetslogger. Brukere genererer kortvarige kortvarige nøkkelpar ved hjelp av sigstore-klientverktøyene. Sigstore PKI-tjenesten vil da gi et signeringssertifikat generert etter et vellykket OpenID connect-tilskudd. Alle sertifikater er registrert i et sertifikatgjenkjennelsesregister, og materialet til signering av programvare sendes til et gyldighetsregister."

Mer om Sigstore

"Bruk av transparensposter introduserer en grunn til tillit til brukerens OpenID-konto. Dermed kan vi ha garantier for at den påståtte brukeren hadde kontroll over kontoen til en identitetstjenesteleverandør på signeringstidspunktet. Når signeringsoperasjonen er fullført, kan tastene kastes, noe som eliminerer behovet for ytterligere nøkkeladministrasjon eller behovet for tilbakekalling eller rotasjon."

For mer informasjon om "Sigstore" du kan besøke din offisielle nettside på GitHub og Fellesskap (gruppe) offentligGoogle.

Sammendrag: Ulike publikasjoner

Oppsummering

Vi håper dette "nyttig lite innlegg" på  «Sigstore», et interessant og nyttig prosjekt av Linux Foundationsom er en åpenhetstjeneste og programvaresignatur allmennyttige og ideelle organisasjoner, skapt for forbedre forsyningskjeden programvare med åpen kildekode; er av stor interesse og nytte, for hele «Comunidad de Software Libre y Código Abierto» og med stort bidrag til spredningen av det fantastiske, gigantiske og voksende økosystemet med applikasjoner av «GNU/Linux».

For nå, hvis du likte dette publicación, Ikke stopp del det med andre på dine favorittnettsteder, kanaler, grupper eller fellesskap av sosiale nettverk eller meldingssystemer, helst gratis, åpent og / eller sikrere som TelegramSignalМастодон eller en annen av Fediverse, helst.

Og husk å besøke hjemmesiden vår kl «Fra Linux» for å utforske flere nyheter, samt bli med på vår offisielle kanal Telegram fra FromLinuxMens du kan besøke hvilken som helst for mer informasjon Nettbibliotek som OpenLibra y jedit, for å få tilgang til og lese digitale bøker (PDF-filer) om dette emnet eller andre.


Innholdet i artikkelen følger våre prinsipper for redaksjonell etikk. Klikk på for å rapportere en feil her.

Bli den første til å kommentere

Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.