Sigstore: Projekt za izboljšanje odprtokodne dobavne verige

Sigstore: Projekt za izboljšanje odprtokodne dobavne verige

Sigstore: Projekt za izboljšanje odprtokodne dobavne verige

Danes se bomo pogovarjali o "Sigstore". Eden od mnogih, brezplačni in odprti projekti pod taktirko Linux Foundation.

"Sigstore" V bistvu gre za projekt, ustvarjen za zagotavljanje neprofitne javne dobre storitve izboljšanje dobavne verige de odprtokodna programska oprema olajšanje sprejemanja šifrirnega podpisa programske opreme, podprte s tehnologijami za registracijo preglednosti.

Avtomobilski razred Linux

"Sigstore", Ni edini Projekt Linux Foundation o katerih smo govorili že v prejšnjih priložnostih. Še eden od njih je bil Avtomobilski razred Linux, ki smo ga takrat opisali na naslednji način:

"Automotive Grade (Quality) Linux je odprtokodni skupni projekt, ki združuje proizvajalce avtomobilov, prodajalce in tehnološka podjetja, da pospeši razvoj in sprejetje popolnoma odprtega sklopa programske opreme za avtomobile prihodnosti. Z jedrom Linuxa AGL že od začetka razvija odprto platformo, ki lahko dejansko služi kot industrijski standard za hiter razvoj novih funkcij in tehnologij." Linux Foundation: Prisoten na sejmu potrošniške elektronike 2020

Linux Foundation: Prisoten na sejmu potrošniške elektronike 2020
Povezani članek:
Linux Foundation: Prisoten na sejmu potrošniške elektronike 2020
Avtomobilski razred Linux
Povezani članek:
Linux gre na pot zahvaljujoč avtomobilskemu razredu Linux

Kasneje bomo v prihodnjih publikacijah obravnavali še druge projekte, toda za tiste, ki želijo nekatere raziskati sami, lahko to storijo prek naslednje povezave: Projekti Linux Foundation.

Sigstore: projekt fundacije Linux

Sigstore: projekt fundacije Linux

Kaj je Sigstore?

Po njegovem mnenju Uradna spletna stran podjetja Sigstore, enako je:

"Projekt, ustvarjen z namenom zagotavljanja neprofitne javne dobre storitve za izboljšanje odprtokodne dobavne verige programske opreme s pospeševanjem sprejemanja kriptografskega podpisa programske opreme, podprte s tehnologijami za registracijo preglednosti. Poleg tega poskuša usposobiti razvijalce programske opreme za varno podpisovanje artefaktov programske opreme, kot so datoteke izdaje, slike vsebnikov, binarne datoteke, manifesti gradiva in še več."

Poleg tega želi ta projekt zagotoviti, da:

"Podpisani materiali so shranjeni v nedovoljeni javni evidenci."

Zakaj je Sigstore pomemben?

Ta projekt, njegova orodja in člani, se želi izogniti «napadi na dobavno verigo programske opreme », na primer, kaj se je zgodilo z SolarWinds in drugi v zadnjem času dobro znani.

"Microsoft je dejal, da so hekerji ogrozili programsko opremo za nadzor in upravljanje Orion podjetja SolarWinds, ki jim omogoča, da se lažno predstavljajo za obstoječega uporabnika in račun v organizaciji, vključno z zelo privilegiranimi računi. Rusija naj bi izkoriščala plasti oskrbovalne verige za dostop do sistemov vladnih agencij."

Povezani članek:
Vdor v SolarWinds bi lahko bil precej slabši od pričakovanega

Naj vas razume «napad na dobavno verigo programske opreme » na dejanje, s katerim Heker v zlonamerno programsko opremo vstavi zlonamerno kodo, da jo širi povsod.

Zato so brezplačni / odprti projekti, ki so brezplačni in enostavni za izvedbo, kot npr "Sigstore" v naših dneh so vedno bolj potrebni.

Kako preprečiti napade na dobavno verigo programske opreme?

Čeprav smo ob drugih priložnostih ponudili nekaj koristnih nasvetov o varovanju informacij, ki so praktični za vsakogar in kadar koli ali v vsaki situaciji, so naslednji nasveti neposredno osredotočeni na čim večje ublažitev te vrste napada:

Varnostni nasveti za vsakogar kadar koli
Povezani članek:
Nasveti za računalniško varnost za vsakogar kadar koli in kjer koli
  1. Vodi evidenco vseh lastnih in neodvisnih programskih orodij, tako brezplačnih kot odprtih ter lastniških in zaprtih, ki se uporabljajo.
  2. Zavedajte se znanih in prihodnjih ranljivosti vseh uporabljenih aplikacij in sistemov, da čim prej uporabite popravke, ki so uradno na voljo.
  3. Bodite obveščeni o odkritih kršitvah ali napadih na lastne in neodvisne ponudnike programske opreme, da se na te načine izognete nepričakovanim presenečenjem.
  4. V najkrajšem možnem času odpravite tiste sisteme, storitve in protokole, ki so lahko odvečni (nepotrebni) ali zastareli (neuporabljeni).
  5. Načrtujte in izvajajte skupne strategije in varnostne zahteve s svojimi ponudniki programske opreme, da zmanjšate tveganje za IT zaradi njih in lastnih varnostnih procesov.
  6. Izvajajte redne revizije kod. In redno spremljajte varnostne preglede in postopke nadzora sprememb, potrebne za vsako komponento kode, ki je ustvarjena ali uporabljena.
  7. Opravite rutinske teste penetracije, da ugotovite morebitne nevarnosti na svoji računalniški platformi.
  8. Izvedite varnostne ukrepe IT, kot so nadzor dostopa in dvojno preverjanje pristnosti (2FA), da zaščitite procese razvoja programske opreme.
  9. Zaženite varnostno programsko opremo z več plastmi zaščite. Še posebej proti vdoru, virusom in rasomwareju, ki so tako pogosti danes.
  10. Redno posodabljajte svoj varnostni načrt ali načrt ukrepov ob nepredvidljivih dogodkih varno vzdržujte ključne podatke o svojih aplikacijah, sistemih in dejavnostih (procesih) ter si jih lahko v najkrajšem možnem času obnovite.

Več o Sigstoreju

Več o sigstore

Končno so razvijalci "Sigstore" malo pojasnjujejo delovanje tega projekta na naslednji način:

"sigstore izkorišča obstoječe tehnologije x509 PKI in registre preglednosti. Uporabniki ustvarijo kratkotrajne kratkočasne pare ključev z uporabo odjemalskih orodij sigstore. Storitev sigstore PKI bo nato zagotovila podpisno potrdilo, ustvarjeno po uspešni odobritvi povezave OpenID. Vsa potrdila so zabeležena v registru preglednosti potrdil, materiali za podpisovanje programske opreme pa so poslani v register preglednosti podpisov."

Več o Sigstoreju

"Uporaba zapisov o preglednosti uvaja koreno zaupanja v uporabnikov račun OpenID. Tako imamo lahko zagotovila, da je zahtevani uporabnik v času podpisa imel nadzor nad računom ponudnika identitetnih storitev. Ko je postopek podpisovanja končan, lahko ključe zavržete in tako odpravite kakršno koli dodatno upravljanje s ključi ali potrebo po preklicu ali rotaciji."

Za več informacij o "Sigstore" lahko obiščete svojo uradna spletna stran na GitHub in Skupnost (Skupina) na google.

Povzetek: Različne publikacije

Povzetek

Upamo, da to "koristna majhna objava" na  «Sigstore», zanimiv in uporaben projekt projekta Linux Foundationki je a storitev preglednosti in podpis programske opreme javno dobro in neprofitno, ustvarjeno za izboljšanje dobavne verige odprtokodna programska oprema; je za celotno zelo zanimivo in uporabno «Comunidad de Software Libre y Código Abierto» in velik prispevek k širjenju čudovitega, velikanskega in rastočega ekosistema aplikacij «GNU/Linux».

Za zdaj, če vam je bilo to všeč publicación, Ne nehaj delite z drugimi na vaših najljubših spletnih mestih, kanalih, skupinah ali skupnostih v družabnih omrežjih ali sistemih za sporočanje, po možnosti brezplačno, odprto in / ali bolj varno kot TelegramSignalMastodon ali drug od Fediverse, po možnosti.

In ne pozabite obiskati naše domače strani na «DesdeLinux» da raziščete več novic in se pridružite našemu uradnemu kanalu Telegram z dne DesdeLinuxZa več informacij pa lahko obiščete katero koli Spletna knjižnica kot OpenLibra y jedit, za dostop in branje digitalnih knjig (PDF) na to temo ali drugih.


Bodite prvi komentar

Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.