Sigstore: Projekt për të përmirësuar zinxhirin e furnizimit me burim të hapur
Sot, ne do të flasim për "Sigstore". Një nga shumë, nga projekte falas dhe të hapura nën tutelën e Fondacioni Linux.
"Sigstore" Në thelb është një projekt i krijuar për të siguruar një shërbim jo-fitimprurës të mirë publik, për të të përmirësojë zinxhirin e furnizimit de softuer me burim të hapur lehtësimin e adoptimit të firmës kriptografike të softuerit mbështetur nga teknologjitë e regjistrimit të transparencës.
"Sigstore", Nuk është i vetmi Projekti i Fondacionit Linux për të cilën kemi biseduar në raste të mëparshme. Një tjetër prej tyre ka qenë Linux i Shkallës së Automotive, të cilat ne i përshkruajmë në atë kohë si më poshtë:
"Automotive Grade (Quality) Linux është një projekt bashkëpunues me burim të hapur që po bashkon prodhuesit e automjeteve, shitësit dhe kompanitë e teknologjisë për të përshpejtuar zhvillimin dhe miratimin e një pirgu softuer plotësisht të hapur për makinën e së ardhmes. Me Linux në thelb, AGL po zhvillon një platformë të hapur që nga fillimi që mund të shërbejë si standard i industrisë de facto për të mundësuar zhvillimin e shpejtë të veçorive dhe teknologjive të reja." Fondacioni Linux: I pranishëm në Show Elektronikë të Konsumatorëve 2020
Më vonë, në botimet e ardhshme, ne do të trajtojmë projekte të tjera, por për ata që dëshirojnë të eksplorojnë disa prej tyre vetë, ata mund ta bëjnë këtë përmes lidhjes vijuese: Projektet e Fondacionit Linux.
Sigstore: Një projekt i Fondacionit Linux
Çfarë është Sigstore?
Sipas tij Faqja zyrtare e Sigstore, e njëjta gjë është:
"Një projekt i krijuar me synimin për të ofruar një shërbim jo-fitimprurës të mirë publik për të përmirësuar zinxhirin e furnizimit me softuer me burim të hapur duke lehtësuar miratimin e firmës kriptografike të softuerit, mbështetur nga teknologjitë e regjistrimit të transparencës. Përveç kësaj, ai përpiqet të trajnojë zhvilluesit e softuerëve për të nënshkruar në mënyrë të sigurtë objekte softuerësh si skedarë lëshimi, imazhe kontejnerësh, binare, manifeste materialesh etj."
Për më tepër, ky projekt synon të sigurojë që:
"Materialet e nënshkruara ruhen në një regjistër publik të papërshtatshëm."
Pse është i rëndësishëm Sigstore?
Ky projekt, mjetet dhe anëtarët e tij, synon të shmangë «sulmet ndaj zinxhirit të furnizimit me softuer », të tilla si, çfarë ka ndodhur me të SolarWinds dhe të tjerët të njohur mirë në kohët e fundit.
"Microsoft tha se hakerat kompromentuan softuerin e monitorimit dhe menaxhimit të Orion të SolarWinds, duke i lejuar ata të imitojnë çdo përdorues dhe llogari ekzistuese në organizatë, duke përfshirë llogari tepër të privilegjuara. Rusia thuhet se ka shfrytëzuar shtresat e zinxhirit të furnizimit për të hyrë në sistemet e agjencive qeveritare."
Të kuptohet nga «sulm ndaj zinxhirit të furnizimit me softuer » në aktin me të cilin, Një haker fut kodin me qëllim të keq në softuer të ligjshëm për ta përhapur atë kudo.
Prandaj, projekte falas / të hapura që janë falas dhe të lehta për tu zbatuar, si p.sh. "Sigstore" ato janë gjithnjë e më të nevojshme në ditët tona.
Si të parandalojmë sulmet në zinxhirin e furnizimit me softuer?
Megjithëse, në raste të tjera, ne kemi ofruar disa këshilla të dobishme për sigurinë e informacionit, praktike për të gjithë dhe në çdo kohë apo situatë, këshillat e mëposhtme janë drejtpërdrejt të përqendruara në zbutjen e këtij lloji sulmi sa më shumë që të jetë e mundur:
- Mbani një inventar të të gjitha mjeteve të softuerit të tyre dhe të palëve të treta, si falas dhe të hapur, dhe të pronarit dhe të mbyllur, që përdoren.
- Jini të vëmendshëm ndaj dobësive të njohura dhe të ardhshme, të të gjitha aplikacioneve dhe sistemeve të përdorura, për të aplikuar sa më shpejt që të jetë e mundur, arnimet që janë zyrtarisht të disponueshme.
- Qëndroni të informuar në lidhje me shkeljet e zbuluara ose sulmet e kryera, për të zotëruar dhe ofrues të programeve të palëve të treta, për të shmangur surprizat e papritura në këto mënyra.
- Eliminoni në kohën më të shkurtër të mundshme, ato sisteme, shërbime dhe protokolle që mund të jenë të tepërta (të panevojshëm) ose të vjetëruara (të papërdorura).
- Planifikoni dhe zbatoni strategji të përbashkëta dhe kërkesa të sigurisë me ofruesit e softuerit tuaj, për të minimizuar rrezikun e IT nga ata dhe proceset tuaja të sigurisë.
- Kryeni kontrolle të rregullta të kodit. Dhe mbani rishikime të azhurnuara të sigurisë dhe procedurat e kontrollit të ndryshimit, të kërkuara për secilin komponent të kodit të krijuar ose përdorur.
- Kryeni teste të depërtimit rutinë për të identifikuar rreziqet e mundshme në platformën tuaj informatike.
- Zbatoni masat e sigurisë IT siç janë kontrollet e hyrjes dhe vërtetimi i faktorit të dyfishtë (2FA) për të mbrojtur proceset e zhvillimit të softverit.
- Ekzekutoni softuer sigurie me shumë shtresa mbrojtjeje. Sidomos kundër ndërhyrjeve, viruseve dhe rasomwares, kaq të zakonshme këto ditë.
- Mbajeni të azhurnuar planin tuaj rezervë ose rezervë, në mënyrë që të mirëmbani në mënyrë të sigurt të dhënat jetike të aplikacioneve, sistemeve dhe aktiviteteve (proceseve) tuaja, dhe të jeni në gjendje të rikuperoni cilindo prej tyre, në kohën më të shkurtër të mundshme.
Më shumë për sigstore
Më në fund, zhvilluesit e "Sigstore" ata shpjegojnë pak funksionimin e këtij projekti në mënyrën vijuese:
"sigstore përdor teknologjitë ekzistuese x509 PKI dhe regjistrat e transparencës. Përdoruesit gjenerojnë çifte kalimtare jetëshkurtra duke përdorur mjetet e klientit të sigstore. Shërbimi sigstore PKI do të sigurojë një certifikatë nënshkrimi të gjeneruar pas një granti të suksesshëm të lidhjes OpenID. Të gjitha certifikatat regjistrohen në një regjistër të transparencës së certifikatave dhe materialet e nënshkrimit të softuerëve dorëzohen në një regjistër të transparencës së nënshkrimeve."
"Përdorimi i regjistrave të transparencës paraqet një rrënjë besimi në llogarinë OpenID të përdoruesit. Kështu që ne mund të kemi garanci se përdoruesi i pretenduar ishte në kontroll të llogarisë së një ofruesi të shërbimit të identitetit në kohën e nënshkrimit. Pasi të përfundojë operacioni i nënshkrimit, çelësat mund të hidhen, duke eliminuar çdo nevojë për menaxhim shtesë të çelësave ose nevojën për revokim ose rotacion."
Për më shumë informacion mbi "Sigstore" ju mund të vizitoni tuajin faqe zyrtare në GitHub dhe Komuniteti (Grupi) publik më Google.
Përmbledhje
Ne shpresojmë që kjo "post i dobishëm i vogël" më «Sigstore», një projekt interesant dhe i dobishëm i Fondacioni Linuxqë është një shërbimi i transparencës dhe nënshkrimi i softuerit e mirë publike dhe jofitimprurëse, krijuar për të përmirësojë zinxhirin e furnizimit softuer me burim të hapur; është me interes dhe dobi të madhe, për të gjithë «Comunidad de Software Libre y Código Abierto» dhe me një kontribut të madh në përhapjen e ekosistemit të mrekullueshëm, gjigant dhe në rritje të zbatimeve të «GNU/Linux».
Tani për tani, nëse ju pëlqeu kjo publicación, Mos u ndal ndajnë atë me të tjerët, në faqet e internetit, kanalet, grupet ose komunitetet tuaja të preferuara të rrjeteve sociale ose sistemeve të mesazheve, mundësisht falas, të hapur dhe / ose më të sigurt si Telegram, Sinjal, Mastodont ose një tjetër i Gjithësia, mundësisht.
Dhe mos harroni të vizitoni faqen tonë në «DesdeLinux» për të eksploruar më shumë lajme, si dhe për t'u bashkuar me kanalin tonë zyrtar të Telegrami i DesdeLinux. Ndërsa, për më shumë informacion, mund të vizitoni cilindo Biblioteka online si OpenLibra y jedit, për të hyrë dhe lexuar libra dixhitalë (PDF) mbi këtë temë ose të tjera.