Sigstore: Projekt poprawy łańcucha dostaw open source

Sigstore: Projekt poprawy łańcucha dostaw open source

Dzisiaj porozmawiamy „Sigstore”. Jeden z wielu darmowe i otwarte projekty pod opieką Linux Foundation.

„Sigstore” Jest to w zasadzie projekt stworzony w celu świadczenia usługi dobra publicznego o charakterze non-profit, aby: usprawnić łańcuch dostaw de oprogramowanie open source ułatwienie przyjęcia podpisu kryptograficznego oprogramowania wspieranego przez technologie rejestracji przezroczystości.

„Sigstore”, To nie jedyny Projekt Linux Foundation o których rozmawialiśmy przy poprzednich okazjach. Kolejny z nich był Linux klasy samochodowej, które wtedy opisujemy następująco:

"Automotive Grade (Quality) Linux to wspólny projekt open source, który łączy producentów samochodów, sprzedawców i firmy technologiczne w celu przyspieszenia rozwoju i przyjęcia w pełni otwartego stosu oprogramowania dla samochodów przyszłości. Bazując na Linuksie, AGL rozwija od podstaw otwartą platformę, która może służyć jako de facto standard branżowy umożliwiający szybki rozwój nowych funkcji i technologii." Linux Foundation: obecny na targach Consumer Electronics Show 2020

Podobne artykuł:

Linux Foundation: obecny na targach Consumer Electronics Show 2020

Podobne artykuł:

Linux rusza w drogę dzięki Automotive Grade Linux

Później, w przyszłych publikacjach, zajmiemy się innymi projektami, ale dla tych, którzy chcą poznać niektóre z nich samodzielnie, mogą to zrobić za pomocą poniższego linku: Projekty Linux Foundation.

Sigstore: Projekt Linux Foundation

Co to jest Sigstore?

Według siebie Oficjalna strona internetowa Sigstoreto to samo:

"Projekt stworzony w celu świadczenia usługi dobra publicznego o charakterze non-profit w celu usprawnienia łańcucha dostaw oprogramowania typu open source poprzez ułatwienie przyjęcia podpisu kryptograficznego oprogramowania, wspieranego przez technologie rejestracji przezroczystości. Ponadto próbuje szkolić programistów w zakresie bezpiecznego podpisywania artefaktów oprogramowania, takich jak pliki wersji, obrazy kontenerów, pliki binarne, manifesty zestawień materiałów i inne."

Ponadto projekt ten ma na celu zapewnienie, że:

"Podpisane materiały są przechowywane w nienaruszonym publicznym rejestrze."

Dlaczego Sigstore jest ważny?

Ten projekt, jego narzędzia i członkowie mają na celu uniknięcie «ataki na łańcuch dostaw oprogramowania », na przykład, co się stało z SolarWinds i inne dobrze znane w ostatnich czasach.

"Microsoft powiedział, że hakerzy złamali oprogramowanie do monitorowania i zarządzania Orion firmy SolarWinds, umożliwiając im podszywanie się pod dowolnego istniejącego użytkownika i konto w organizacji, w tym konta wysoce uprzywilejowane. Mówi się, że Rosja wykorzystała warstwy łańcucha dostaw, aby uzyskać dostęp do systemów agencji rządowych."

Podobne artykuł:

Hack SolarWinds może być znacznie gorszy niż oczekiwano

Daj się zrozumieć «atak na łańcuch dostaw oprogramowania » do czynu, przez który, Haker umieszcza złośliwy kod w legalnym oprogramowaniu, aby rozprzestrzeniać go wszędzie.

Stąd darmowe/otwarte projekty, które są darmowe i łatwe do wdrożenia, takie jak: „Sigstore” są coraz bardziej potrzebne w naszych czasach.

Jak zapobiegać atakom na łańcuch dostaw oprogramowania?

Chociaż przy innych okazjach przedstawiliśmy kilka przydatnych porad dotyczących bezpieczeństwa informacji, praktycznych dla każdego i w dowolnym momencie lub sytuacji, poniższe wskazówki dotyczą bezpośrednio ograniczenia tego typu ataku w jak największym stopniu:

Podobne artykuł:

Wskazówki dotyczące bezpieczeństwa komputera dla każdego w dowolnym miejscu i czasie

1. Utrzymuj spis wszystkich używanych narzędzi programowych własnych i innych firm, zarówno bezpłatnych, jak i otwartych oraz zastrzeżonych i zamkniętych.
2. Należy zwracać uwagę na znane i przyszłe luki w zabezpieczeniach wszystkich używanych aplikacji i systemów, aby jak najszybciej zastosować oficjalnie dostępne poprawki.
3. Bądź informowany o wykrytych naruszeniach lub przeprowadzonych atakach, do własnych i zewnętrznych dostawców oprogramowania, aby uniknąć nieoczekiwanych niespodzianek w ten sposób.
4. Wyeliminuj w jak najkrótszym czasie te systemy, usługi i protokoły, które mogą być zbędne (niepotrzebne) lub przestarzałe (nieużywane).
5. Planuj i wdrażaj wspólne strategie i wymagania dotyczące bezpieczeństwa z dostawcami oprogramowania, aby zminimalizować ryzyko informatyczne związane z nimi i własnymi procesami bezpieczeństwa.
6. Przeprowadzaj regularne audyty kodu. Utrzymuj aktualne przeglądy bezpieczeństwa i procedury kontroli zmian, wymagane dla każdego utworzonego lub używanego komponentu kodu.
7. Wykonuj rutynowe testy penetracyjne, aby zidentyfikować potencjalne zagrożenia na platformie komputerowej.
8. Wdrażaj środki bezpieczeństwa IT, takie jak kontrola dostępu i uwierzytelnianie dwuskładnikowe (2FA), aby chronić procesy tworzenia oprogramowania.
9. Uruchamiaj oprogramowanie zabezpieczające z wieloma warstwami ochrony. Zwłaszcza przeciwko włamaniom, wirusom i rasomware, tak powszechnym w dzisiejszych czasach.
10. Aktualizuj kopię zapasową lub plan awaryjny, aby: bezpiecznie utrzymuj ważne dane swoich aplikacji, systemów i działań (procesów) i odzyskaj dowolne z nich w możliwie najkrótszym czasie.
    

Więcej na temat Sklepy

Wreszcie twórcy „Sigstore” wyjaśniają trochę działanie tego projektu w następujący sposób:

"Sklepy wykorzystuje istniejące technologie x509 PKI i rejestry przejrzystości. Użytkownicy generują krótkotrwałe pary kluczy efemerycznych za pomocą narzędzi klienta sigstore. Usługa sigstore PKI dostarczy następnie certyfikat podpisu wygenerowany po pomyślnym przyznaniu połączenia OpenID. Wszystkie certyfikaty są rejestrowane w rejestrze przejrzystości certyfikatów, a materiały do ​​podpisywania oprogramowania są przekazywane do rejestru przejrzystości podpisów."

"Korzystanie z zapisów przezroczystości wprowadza źródło zaufania do konta OpenID użytkownika. W ten sposób możemy mieć gwarancje, że zgłoszony użytkownik miał kontrolę nad kontem dostawcy usług tożsamości w momencie podpisywania. Po zakończeniu operacji podpisywania klucze można odrzucić, eliminując potrzebę dodatkowego zarządzania kluczami lub potrzeby odwołania lub rotacji."

Aby uzyskać więcej informacji na temat „Sigstore” możesz odwiedzić swoją oficjalna strona internetowa w serwisie GitHub i Społeczność (grupa) public na Google.

streszczenie

Mamy taką nadzieję "pomocny mały post" na  «Sigstore», ciekawy i użyteczny projekt Linux Foundationktóry jest usługa przejrzystości i podpis oprogramowania dobra publicznego i non-profit, stworzone dla usprawnić łańcuch dostaw oprogramowanie open source; jest bardzo interesujące i użyteczne, dla całości, «Comunidad de Software Libre y Código Abierto» i ma wielki wkład w rozprzestrzenianie się wspaniałego, gigantycznego i rosnącego ekosystemu zastosowań «GNU/Linux».

Na razie, jeśli to lubisz publicación, Nie przestawaj udostępnij to z innymi osobami w ulubionych witrynach internetowych, kanałach, grupach lub społecznościach sieci społecznościowych lub systemach przesyłania wiadomości, najlepiej bezpłatnych, otwartych i / lub bezpieczniejszych, jak Telegram, Signal, Mastodont lub inny z Fediversenajlepiej.

I pamiętaj, aby odwiedzić naszą stronę główną pod adresem «DesdeLinux» aby poznać więcej wiadomości, a także dołączyć do naszego oficjalnego kanału Telegram z DesdeLinux. Aby uzyskać więcej informacji, możesz odwiedzić dowolne Biblioteka online jako OpenLibra y Jedit, aby uzyskać dostęp do książek cyfrowych (PDF) na ten lub inny temat i czytać je.