Sigstore: Projekt na zlepšenie dodávateľského reťazca otvoreného zdroja

Sigstore: Projekt na zlepšenie dodávateľského reťazca otvoreného zdroja

Sigstore: Projekt na zlepšenie dodávateľského reťazca otvoreného zdroja

Dnes si povieme niečo o „Sigstore“. Jeden z mnohých, z bezplatné a otvorené projekty pod vedením Linux Foundation.

„Sigstore“ Je to v podstate projekt vytvorený na poskytovanie neziskových verejných dobrých služieb, pre zlepšiť dodávateľský reťazec de softvér s otvoreným zdrojom uľahčenie prijatia softvérového kryptografického podpisu podloženého technológiami registrácie transparentnosti.

Linux pre automobilový priemysel

„Sigstore“, Nie je to jediné Projekt Linux Foundation o ktorých sme hovorili pri predchádzajúcich príležitostiach. Ďalším z nich bol Linux pre automobilový priemysel, ktoré v tom čase popisujeme nasledovne:

"Automotive Grade (Quality) Linux je projekt spolupráce založený na otvorenom zdroji, ktorý spája výrobcov automobilov, predajcov a technologické spoločnosti s cieľom urýchliť vývoj a prijatie plne otvoreného softvérového balíka pre automobil budúcnosti. S jadrom Linuxu vyvíja AGL od základu otvorenú platformu, ktorá môže slúžiť ako de facto priemyselný štandard umožňujúci rýchly vývoj nových funkcií a technológií." Linux Foundation: Prezentácia na výstave spotrebnej elektroniky 2020

Linux Foundation: Prezentácia na výstave spotrebnej elektroniky 2020
Súvisiaci článok:
Linux Foundation: Prezentácia na výstave spotrebnej elektroniky 2020
Linux pre automobilový priemysel
Súvisiaci článok:
Linux je na ceste vďaka systému Linux pre automobilový priemysel

Neskôr sa v ďalších publikáciách budeme venovať ďalším projektom, ale pre tých, ktorí si chcú niektoré z nich preskúmať sami, môžu urobiť prostredníctvom nasledujúceho odkazu: Projekty Linux Foundation.

Sigstore: Projekt nadácie Linux

Sigstore: Projekt nadácie Linux

Čo je Sigstore?

Podľa seba Oficiálna webová stránka spoločnosti Sigstoreto isté je:

"Projekt vytvorený s cieľom poskytnúť neziskovú verejnú službu s cieľom zlepšiť dodávateľský reťazec softvéru s otvoreným zdrojovým kódom uľahčením prijatia kryptografického podpisu softvéru podporovaného technológiami registrácie transparentnosti. Okrem toho sa pokúša vyškoliť vývojárov softvéru, aby bezpečne podpísali softvérové ​​artefakty, ako sú súbory vydaní, obrázky kontajnerov, binárne súbory, zoznamy kusovníkov a ďalšie."

Tento projekt sa okrem toho snaží zabezpečiť, aby:

"Podpísané materiály sú uložené vo verejnom zázname zabezpečenom proti neoprávnenej manipulácii."

Prečo je Sigstore dôležitý?

Tento projekt, jeho nástroje a členovia sa snažia vyhnúť «útoky na dodávateľský reťazec softvéru », ako napríklad to, čo sa stalo s SolarWinds a ďalšie dobre známe v poslednej dobe.

"Spoločnosť Microsoft uviedla, že hackeri kompromitovali softvér na monitorovanie a správu systému Orion od spoločnosti SolarWinds, čo im umožnilo vydávať sa za akýchkoľvek existujúcich používateľov a účtov v organizácii vrátane vysoko privilegovaných účtov. Rusko údajne využilo vrstvy dodávateľského reťazca na prístup k systémom vládnych agentúr."

Súvisiaci článok:
Hack systému SolarWinds môže byť oveľa horší, ako sa očakávalo

Nechajte sa pochopiť «útok na dodávateľský reťazec softvéru » k aktu, ktorým Hacker vkladá škodlivý kód do legitímneho softvéru a šíri ho všade.

Teda bezplatné / otvorené projekty, ktoré sú bezplatné a ľahko realizovateľné, ako napr „Sigstore“ sú v dnešnej dobe čoraz potrebnejšie.

Ako zabrániť útokom na dodávateľský reťazec softvéru?

Aj keď sme pri iných príležitostiach ponúkli niekoľko užitočných rád o bezpečnosti informácií, praktických pre všetkých a v každej dobe alebo situácii, nasledujúce tipy sa priamo zameriavajú na čo najväčšie zmiernenie tohto typu útoku:

Tipy na zabezpečenie IT pre každého kedykoľvek
Súvisiaci článok:
Tipy pre zabezpečenie počítača pre každého, kedykoľvek a kdekoľvek
  1. Udržujte zoznam všetkých vlastných softvérových nástrojov a softvérových nástrojov tretích strán, a to bezplatných aj otvorených, a chránených a uzavretých, ktoré sa používajú.
  2. Dajte pozor na známe a budúce zraniteľné miesta všetkých aplikácií a systémov, ktoré chcete použiť, aby ste čo najskôr aplikovali opravy, ktoré sú oficiálne dostupné.
  3. Zostaňte informovaní o zistených porušeniach alebo vykonaných útokoch, na vlastných poskytovateľov softvéru a poskytovateľov softvéru tretích strán, aby ste predišli neočakávaným prekvapeniam týmito spôsobmi
  4. Eliminujte v čo najkratšom čase tie systémy, služby a protokoly, ktoré môžu byť nadbytočné (zbytočné) alebo zastarané (nepoužívané).
  5. Plánujte a implementujte spoločné stratégie a bezpečnostné požiadavky so svojimi poskytovateľmi softvéru, aby ste minimalizovali IT riziko z nich a vašich vlastných bezpečnostných procesov.
  6. Vykonajte pravidelné audity kódu. A neustále aktualizujte kontroly zabezpečenia a postupy kontroly zmien vyžadované pre každú vytvorenú alebo použitú súčasť kódu.
  7. Vykonajte bežné penetračné testy, aby ste identifikovali potenciálne riziká na svojej výpočtovej platforme.
  8. Na ochranu procesov vývoja softvéru implementujte bezpečnostné opatrenia IT, ako sú napríklad kontroly prístupu a dvojfaktorová autentifikácia (2FA).
  9. Spustite bezpečnostný softvér s viacerými vrstvami ochrany. Najmä proti vniknutiu, vírusom a rasomwarom, v dnešnej dobe tak častým javom.
  10. Udržujte svoj záložný alebo pohotovostný plán aktuálny bezpečne udržiavajte dôležité údaje o vašich aplikáciách, systémoch a činnostiach (procesoch) a dokážte ktorékoľvek z nich obnoviť v čo najkratšom čase.

Viac o spoločnosti Sigstore

Viac o sigstore

A konečne, vývojári „Sigstore“ vysvetľujú trochu fungovanie tohto projektu nasledujúcim spôsobom:

"sigstore využíva existujúce technológie x509 PKI a registre transparentnosti. Používatelia vytvárajú krátkodobé pominuteľné páry kľúčov pomocou nástrojov klienta sigstore. Služba PKI sigstore potom poskytne podpisový certifikát vygenerovaný po úspešnom udelení spojenia OpenID. Všetky certifikáty sa zaznamenávajú v registri transparentnosti certifikátov a softvérové ​​podpisové materiály sa odosielajú do registra transparentnosti podpisov."

Viac o spoločnosti Sigstore

"Používanie záznamov o transparentnosti zavádza koreň dôvery v účet OpenID používateľa. Môžeme teda mať záruky, že nárokovaný používateľ mal v čase podpisu kontrolu nad účtom poskytovateľa služieb identity. Po dokončení podpisovej operácie môžu byť kľúče zahodené, čo eliminuje potrebu ďalšej správy kľúčov alebo potrebu odvolania alebo rotácie."

Viac informácií o „Sigstore“ môžete navštíviť svoju oficiálna webová stránka na GitHub a Komunitná (skupinová) verejnosť na Google.

Zhrnutie: Rôzne publikácie

Zhrnutie

V to dufame "užitočný malý príspevok" na  «Sigstore», zaujímavý a užitočný projekt Linux Foundationčo je a služba transparentnosti a softvérový podpis verejné dobro a neziskové, vytvorené pre zlepšiť dodávateľský reťazec softvér s otvoreným zdrojom; je veľmi zaujímavý a užitočný pre celú spoločnosť «Comunidad de Software Libre y Código Abierto» a veľmi prispieva k rozšíreniu nádherného, ​​gigantického a rastúceho ekosystému aplikácií systému «GNU/Linux».

Zatiaľ sa vám to páčilo publicación, Nezastavuj zdieľať to s ostatnými na svojich obľúbených webových stránkach, kanáloch, skupinách alebo komunitách sociálnych sietí alebo systémov správ, najlepšie bezplatných, otvorených a / alebo bezpečnejších ako telegramSignáluMastodon alebo iný z Fediverse, prednostne.

A nezabudnite navštíviť našu domovskú stránku na adrese «DesdeLinux» preskúmať viac noviniek a tiež sa pripojiť k nášmu oficiálnemu kanálu Telegram z DesdeLinuxZatiaľ čo pre viac informácií môžete navštíviť ktorúkoľvek z nich Online knižnica ako OpenLibra y jedit, prístup a čítanie digitálnych kníh (PDF) o tejto téme alebo iných.


Buďte prvý komentár

Zanechajte svoj komentár

Vaša e-mailová adresa nebude zverejnená. Povinné položky sú označené *

*

*

  1. Zodpovedný za údaje: Miguel Ángel Gatón
  2. Účel údajov: Kontrolný SPAM, správa komentárov.
  3. Legitimácia: Váš súhlas
  4. Oznamovanie údajov: Údaje nebudú poskytnuté tretím stranám, iba ak to vyplýva zo zákona.
  5. Ukladanie dát: Databáza hostená spoločnosťou Occentus Networks (EU)
  6. Práva: Svoje údaje môžete kedykoľvek obmedziť, obnoviť a vymazať.