Sigstore: Proiect de îmbunătățire a lanțului de aprovizionare open source

Sigstore: Proiect de îmbunătățire a lanțului de aprovizionare open source

Astăzi, vom vorbi despre „Sigstore”. Unul dintre multe, dintre proiecte gratuite și deschise sub tutela Fundația Linux.

„Sigstore” Este practic un proiect creat pentru a oferi un serviciu public non-profit, pentru îmbunătățirea lanțului de aprovizionare de software open source facilitarea adoptării semnăturii criptografice software susținute de tehnologii de înregistrare a transparenței.

„Sigstore”, Nu este singurul Proiectul Linux Foundation despre care am vorbit cu ocazii anterioare. O alta dintre ele a fost Linux pentru automobile, pe care le descriem la momentul respectiv după cum urmează:

Automotive Grade (Quality) Linux este un proiect de colaborare open source care reunește producători de automobile, furnizori și companii de tehnologie pentru a accelera dezvoltarea și adoptarea unui stack de software complet deschis pentru mașina viitorului. Având Linux la bază, AGL dezvoltă o platformă deschisă de la bază, care poate servi drept standard de facto al industriei pentru a permite dezvoltarea rapidă a noilor caracteristici și tehnologii.Matei 22:21 Fundația Linux: prezentă la Consumer Electronics Show 2020

Articol asociat:

Fundația Linux: prezentă la Consumer Electronics Show 2020

Articol asociat:

Linux începe pe drumuri datorită Linux pentru automobile

Mai târziu, în viitoarele publicații vom aborda alte proiecte, dar pentru cei care doresc să exploreze unele dintre ele singuri, o pot face prin următorul link: Proiecte Linux Foundation.

Sigstore: un proiect al Fundației Linux

Ce este Sigstore?

După el însuși Site-ul oficial Sigstore, același lucru este:

Un proiect creat cu scopul de a oferi un serviciu public non-profit pentru a îmbunătăți lanțul de aprovizionare cu software open source prin facilitarea adoptării semnăturii criptografice software, susținută de tehnologii de înregistrare a transparenței. În plus, încearcă să instruiască dezvoltatorii de software pentru a semna în siguranță artefacte software, cum ar fi fișiere de lansare, imagini de containere, binare, manifeste de factură de materiale și multe altele.Matei 22:21

În plus, acest proiect urmărește să asigure că:

Materialele semnate sunt depozitate într-o evidență publică împotriva manipulării.Matei 22:21

De ce este important Sigstore?

Acest proiect, instrumentele și membrii săi, încearcă să evite «atacuri asupra lanțului de aprovizionare cu software », cum ar fi, ce s-a întâmplat cu SolarWinds și altele bine cunoscute în vremurile recente.

Microsoft a spus că hackerii au compromis software-ul de monitorizare și gestionare Orion al SolarWinds, permițându-le să suplinească orice utilizator și cont existent în organizație, inclusiv conturi extrem de privilegiate. Se spune că Rusia a exploatat straturile lanțului de aprovizionare pentru a accesa sistemele agențiilor guvernamentale.Matei 22:21

Articol asociat:

Hackul SolarWinds ar putea fi mult mai rău decât se aștepta

Fii înțeles de «atac asupra lanțului de aprovizionare cu software » la actul prin care, Un hacker introduce codul rău intenționat în software-ul legitim pentru a-l răspândi peste tot.

Prin urmare, proiecte gratuite / deschise care sunt gratuite și ușor de implementat, cum ar fi „Sigstore” sunt din ce în ce mai necesare în zilele noastre.

Cum se previn atacurile asupra lanțului de aprovizionare cu software?

Deși, cu alte ocazii, am oferit câteva sfaturi utile de securitate a informațiilor, practice pentru toată lumea și în orice moment sau situație, următoarele sfaturi sunt concentrate direct pe atenuarea acestui tip de atac cât mai mult posibil:

Articol asociat:

Sfaturi de securitate computerizată pentru toată lumea oricând, oriunde

1. Mențineți un inventar al tuturor instrumentelor software proprii și ale unor terțe părți, atât gratuite, cât și deschise, precum și proprietare și închise, care sunt utilizate.
2. Fiți conștienți de vulnerabilitățile cunoscute și viitoare, de toate aplicațiile și sistemele utilizate, pentru a aplica cât mai curând posibil patch-urile disponibile oficial.
3. Rămâneți informat cu privire la încălcările sau atacurile detectate efectuate, către furnizori de software proprii și terți, pentru a evita surprize neașteptate în aceste moduri.
4. Eliminați în cel mai scurt timp posibil, acele sisteme, servicii și protocoale care pot fi redundante (inutile) sau învechite (neutilizate).
5. Planificați și implementați strategii comune și cerințe de securitate cu furnizorii dvs. de software, pentru a minimiza riscul IT din partea acestora și a propriilor procese de securitate.
6. Efectuați controale regulate de cod. Și păstrați actualizările de securitate actualizate și procedurile de control al modificărilor, necesare pentru fiecare componentă a codului creat sau utilizat.
7. Efectuați teste de penetrare de rutină pentru a identifica potențialele pericole pe platforma dvs. de calcul.
8. Implementați măsuri de securitate IT, cum ar fi controale de acces și autentificare cu factor dublu (2FA) pentru a proteja procesele de dezvoltare software.
9. Rulați software de securitate cu mai multe straturi de protecție. Mai ales împotriva intruziunilor, virușilor și rasomarelor, atât de frecvente în zilele noastre.
10. Păstrați actualizat planul de rezervă sau de urgență, pentru a mențineți în siguranță datele vitale ale aplicațiilor, sistemelor și activităților (proceselor) dvs. și puteți recupera oricare dintre acestea, în cel mai scurt timp posibil.
    

Mai multe despre sigstore

În cele din urmă, dezvoltatorii de „Sigstore” explică puțin funcționarea acestui proiect în felul următor:

sigstore utilizează tehnologiile PKI x509 existente și registrele de transparență. Utilizatorii generează perechi de chei efemere de scurtă durată folosind instrumentele client sigstore. Serviciul sigstore PKI va furniza apoi un certificat de semnare generat după un grant de conectare OpenID de succes. Toate certificatele sunt înregistrate într-un registru de transparență a certificatelor și materialele de semnare a software-ului sunt trimise unui registru de transparență a semnăturilor.Matei 22:21

Utilizarea înregistrărilor de transparență introduce o rădăcină de încredere în contul OpenID al utilizatorului. Astfel, putem avea garanții că utilizatorul revendicat deținea controlul asupra contului unui furnizor de servicii de identitate la momentul semnării. Odată ce operațiunea de semnare este finalizată, cheile pot fi eliminate, eliminând orice nevoie de gestionare suplimentară a cheilor sau necesitatea revocării sau rotației.Matei 22:21

Pentru mai multe informații despre „Sigstore” vă puteți vizita site-ul oficial pe GitHub și Comunitate (grup) public pe Google.

Rezumat

Sperăm acest lucru  puțină postare utilăMatei 22:21 pe  «Sigstore», un proiect interesant și util al Fundația Linuxcare este un serviciu de transparență și semnătură software bun public și non-profit, creat pentru îmbunătățirea lanțului de aprovizionare software open source; este de mare interes și utilitate, pentru întreg «Comunidad de Software Libre y Código Abierto» și de o mare contribuție la difuzarea minunatului, gigantului și creșterii ecosistemului de aplicații al «GNU/Linux».

Deocamdată, dacă ți-a plăcut asta publicación, Nu te opri împărtășește-l cu alții, pe site-urile, canalele, grupurile sau comunitățile dvs. preferate de rețele sociale sau sisteme de mesagerie, de preferință gratuite, deschise și / sau mai sigure ca Telegramă, Semnal, Mastodont sau altul din Fediverse, preferabil.

Și nu uitați să vizitați pagina noastră principală la «DesdeLinux» pentru a explora mai multe știri, precum și pentru a vă alătura canalului nostru oficial de Telegrama de DesdeLinux. În timp ce, pentru mai multe informații, puteți vizita oricare Biblioteca online ca OpenLibra y jedit, pentru a accesa și a citi cărți digitale (PDF-uri) pe această temă sau altele.