Sigstore: Proyék ningkatkeun ranté pasokan sumber terbuka

Sigstore: Proyék ningkatkeun ranté pasokan sumber terbuka

Sigstore: Proyék ningkatkeun ranté pasokan sumber terbuka

Dinten ieu, urang bakal nyarioskeun "Sigstore". Salah sahiji seueur, tina proyék haratis sareng terbuka handapeun bimbel tina Linux Yayasan.

"Sigstore" Éta dasarna mangrupikeun proyék anu diciptakeun pikeun nyayogikeun jasa umum pikeun nirlaba, pikeun ningkatkeun ranté suplai de software open source mempermudah ngadopsi tanda tangan kriptografi parangkat lunak anu didukung ku téknologi pendaptaran transparansi.

Otomotif Kelas Linux

"Sigstore", Éta henteu ngan ukur hiji Proyék Yayasan Linux anu parantos urang bicarakan dina kasempetan-acara sateuacana. Anu sanésna parantos Otomotif Kelas Linux, anu kami ngajelaskeun dina waktos ieu sapertos kieu:

"Automotive Grade (Quality) Linux mangrupikeun proyék kolaborasi sumber terbuka anu ngahijikeun mobil, vendor sareng perusahaan téknologi pikeun ngagancangkeun pamekaran sareng panerapan tumpukan parangkat lunak kabuka pikeun mobil kapayunna. Kalayan inti na inti, AGL ngembangkeun platform terbuka tina taneuh anu tiasa dijantenkeun standar industri de facto pikeun ngaktipkeun pamekaran gancang fitur sareng téknologi anyar." Yayasan Linux: Hadir dina Consumer Electronics Show 2020

Tulisan anu aya hubunganana:
Yayasan Linux: Hadir dina Consumer Electronics Show 2020

Tulisan anu aya hubunganana:
Linux hits jalan berkat Automotive Grade Linux

Teras, dina terbitan kahareup, urang bakal ngungkulan proyék-proyék sanésna, tapi pikeun anu hoyong ngajalajah sababaraha nyalira, aranjeunna tiasa ngalaksanakeunana ku tautan ieu: Proyék Yayasan Linux.

Sigstore: Proyék Yayasan Linux

Sigstore: Proyék Yayasan Linux

Naon Sigstore?

Numutkeun ka dirina nyalira Halaman web resmi Sigstore, sami sareng:

"Proyék anu didamel kalayan tujuan pikeun nyayogikeun jasa umum anu nirlaba pikeun ningkatkeun ranté suplai perangkat lunak sumber terbuka kalayan mempermudah panerapan tandatangan kriptografi parangkat lunak, dirojong ku téknologi pendaptaran transparansi. Salaku tambahan, éta nyobian ngalatih pamekar parangkat lunak pikeun aman nandatangan artefak parangkat lunak sapertos ngaleupaskeun file, gambar kontainer, binér, tagihan bahan manifés, sareng seueur deui."

Salaku tambahan, proyék ieu narékahan pikeun mastikeun yén:

"Bahan anu ditandatanganan disimpen dina rékor publik anu tamper-proof."

Naha Sigstore penting?

Proyék ieu, pakakas sareng anggotana, narékahan pikeun nyingkahan «serangan dina ranté suplai parangkat lunak », sapertos, naon anu kajantenan SolarWinds sareng anu sanésna terkenal di jaman ayeuna.

"Microsoft nyarios yén peretas kompromi perangkat lunak monitoring sareng manajemén Orion SolarWinds ', ngamungkinkeun aranjeunna nyonto naon waé pangguna sareng akun anu aya dina organisasi, kalebet akun anu ngagaduhan kaistiméwaan. Rusia cenah ngeksploitasi lapisan tina ranté suplai pikeun ngakses sistem agénsi pamaréntah."

Tulisan anu aya hubunganana:
The hack SolarWinds tiasa langkung parah tibatan anu diarepkeun

Kahartos ku «serangan dina ranté suplai parangkat lunak » kana kalakuan ku, hacker nyelapkeun kode jahat kana parangkat lunak anu sah pikeun nyebarkeunana dimana-mana.

Maka, proyék gratis / kabuka anu gratis sareng gampang dilaksanakeun, sapertos "Sigstore" aranjeunna beuki diperyogikeun di jaman ayeuna urang.

Kumaha carana nyegah serangan dina ranté suplai parangkat lunak?

Sanaos, dina waktos anu sanés, kami nawiskeun sababaraha naséhat kaamanan inpormasi anu manpaat, praktis pikeun saha waé sareng iraha waé atanapi kaayaan, tips ieu langsung difokuskeun pikeun mitigasi serangan jenis ieu sabisa-bisa:

Tulisan anu aya hubunganana:
Tip Kaamanan Komputer pikeun Sadayana Iraha waé, Dimana waé
  1. Ngajaga inventaris sadaya pakakas parangkat lunak sorangan sareng pihak katilu, boh gratis boh kabuka, sareng propriétér sareng tertutup, anu dianggo.
  2. Waspada kerentanan anu dipikaterang sareng pikahareupeun, tina sadaya aplikasi sareng sistem anu dianggo, pikeun nerapkeun gancang-gancang tambalan anu sacara resmi sayogi.
  3. Tetep diinpormasi ngeunaan pelanggaran anu dideteksi atanapi serangan anu dilakukeun, pikeun gaduh sareng panyadia parangkat lunak pihak katilu, pikeun nyingkahan kejutan anu teu disangka-sangka ku cara ieu.
  4. Ngaleungitkeun dina waktos anu sesingkatna, sistem, jasa sareng protokol éta anu kaleuleuwihi (henteu diperyogikeun) atanapi luntur (henteu dianggo).
  5. Rencanana sareng nerapkeun strategi sareng syarat kaamanan babarengan sareng panyadia perangkat lunak anjeun, pikeun ngirangan résiko IT ti aranjeunna sareng prosés kaamanan anjeun nyalira.
  6. Ngajalankeun audit kode biasa. Sareng jaga ulasan kaamanan anu diénggalan sareng prosedur pangaturan parobihan, diperyogikeun pikeun masing-masing komponén kode anu diciptakeun atanapi dianggo.
  7. Laksanakeun tés penetrasi rutin pikeun ngaidéntifikasi poténsial bahaya dina platform komputasi anjeun.
  8. Ngalaksanakeun langkah-langkah kaamanan IT, sapertos kadali aksés sareng auténtikasi faktor dobel (2FA) pikeun ngajagaan prosés pamekaran parangkat lunak.
  9. Ngajalankeun software kaamanan ku sababaraha lapisan panyalindungan. Utamana ngalawan gangguan, virus sareng rasomwares, janten biasa di jaman ayeuna.
  10. Jaga cadangan atanapi kontingensi anjeun rencana pikeun mutahir, supados aman ngajaga data penting tina aplikasi, sistem sareng kagiatan (prosés) anjeun, sareng tiasa ngala deui salah sahiji waé, dina waktos anu sesingkatna.

Langkung seueur ngeunaan Sigstore

Langkung seueur ngeunaan toko tanda

Tungtungna, pamekar ti "Sigstore" aranjeunna ngajelaskeun sakedik operasi proyék ieu ku cara kieu:

"toko tanda ngamangpaatkeun téknologi PK509 xXNUMX anu aya sareng log transparansi. Pangguna ngahasilkeun pasangan konci ephemeral jangka pondok nganggo alat klien sigstore. Ladenan PKI sigstore teras bakal nyayogikeun sertipikat panandatanganan anu dihasilkeun saatos hibah OpenID connect suksés. Sadaya sertipikat didaptarkeun dina pendaptaran transparansi sertipikat sareng bahan panandatanganan perangkat lunak dikintunkeun ka pendaptaran transparansi tandatangan."

Langkung seueur ngeunaan Sigstore

"Ngagunakeun rékaman transparansi ngenalkeun akar kapercayaan kana akun OpenID pangguna. Janten, urang tiasa ngagaduhan jaminan yén pangguna anu ngaku éta dina kendali akun panyadia jasa idéntitas nalika ditandatanganan. Sakali operasi penandatanganan réngsé, konci na tiasa dipiceun, ngaleungitkeun sagala kabutuhan manajemén konci tambihan atanapi kabutuhan panyabutan atanapi rotasi."

Kanggo inpo nu langkung lengkep ihwal "Sigstore" anjeun tiasa didatangan anjeun halaman wéb resmi dina GitHub jeung Komunitas (Grup) umum on Google.

Ringkesan: Rupa-rupa terbitan

Resumen

Kami arepkeun ieu "gunana tulisan saeutik" on  «Sigstore», proyék anu pikaresepeun sareng mangpaat tina Linux Yayasananu mangrupa jasa transparansi sareng tandatangan parangkat lunak barang umum sareng nirlaba, didamel pikeun ningkatkeun ranté suplai parangkat lunak open source; dipikaresep pisan sareng kagunaan, pikeun sadayana «Comunidad de Software Libre y Código Abierto» sareng kontribusi hébat kana difusi ékosistem aplikasi éndah, gigantic sareng ngembang tina «GNU/Linux».

Kanggo ayeuna, upami anjeun resep ieu publicación, Tong eureun bagikeun sareng anu sanésna, dina halaman wéb anu anjeun pikaresep, saluran, grup atanapi komunitas jaringan sosial atanapi sistem olahtalatah, langkung saé gratis, kabuka sareng / atanapi langkung aman sabab telegramtandaMastodon atanapi anu sanésna tina Fediverse, langkung saé.

Sareng émut kanggo nganjang halaman bumi kami di «TiLinux» pikeun ngajalajah langkung seueur berita, ogé ngiluan saluran resmi kami tina Telegram ti DesdeLinuxSedengkeun, pikeun langkung seueur inpormasi, anjeun tiasa sumping waé Perpustakaan online Como OpenLibra y jedit, pikeun ngaksés sareng maca buku digital (PDFs) ngeunaan topik ieu atanapi anu sanés.


Eusi tulisan taat kana prinsip urang tina étika éditorial. Pikeun ngalaporkeun kasalahan klik di dieu.

Janten kahiji komen

Ninggalkeun koméntar anjeun

email alamat anjeun moal diterbitkeun.

*

*

  1. Jawab data: Miguel Ángel Gatón
  2. Tujuan tina data: Kontrol SPAM, manajemén koméntar.
  3. Legitimasi: idin anjeun
  4. Komunikasi data: Data moal dikomunikasikan ka pihak katilu kacuali ku kawajiban hukum.
  5. Panyimpenan data: Basis data anu diayakeun ku Occentus Networks (EU)
  6. Hak: Iraha waé anjeun tiasa ngawatesan, cageur sareng mupus inpormasi anjeun.

bool (leres)