Sigstore: Projekt för att förbättra källan med öppen källkod

Sigstore: Projekt för att förbättra källan med öppen källkod

Sigstore: Projekt för att förbättra källan med öppen källkod

Idag ska vi prata om "Sigstore". En av många, av gratis och öppna projekt under ledning av Linux Foundation.

"Sigstore" Det är i grunden ett projekt som skapats för att tillhandahålla en tjänst av allmänt nytta, ideell, till förbättra försörjningskedjan de programvara med öppen källkod underlättar antagandet av programvarukryptografisk signatur med stöd av transparensregistreringstekniker.

Linux i fordonsklass

"Sigstore", Det är inte den enda Linux Foundation-projekt som vi har pratat om vid tidigare tillfällen. En annan av dem har varit Automotive Grade Linux, som vi då beskriver enligt följande:

"Automotive Grade (Quality) Linux är ett samarbetsprojekt med öppen källkod som samlar biltillverkare, leverantörer och teknikföretag för att påskynda utvecklingen och antagandet av en helt öppen programvarustack för framtidens bil. Med Linux i sin kärna utvecklar AGL en öppen plattform från grunden som kan fungera som de facto industristandard för att möjliggöra en snabb utveckling av nya funktioner och tekniker." Linux Foundation: närvarande på Consumer Electronics Show 2020

Linux Foundation: närvarande på Consumer Electronics Show 2020
Relaterad artikel:
Linux Foundation: närvarande på Consumer Electronics Show 2020

Linux i fordonsklass
Relaterad artikel:
Linux slår vägen tack vare Automotive Grade Linux

Senare, i framtida publikationer, kommer vi att ta itu med andra projekt, men för dem som vill utforska några av dem själva kan de göra det via följande länk: Linux Foundation-projekt.

Sigstore: Ett projekt från Linux Foundation

Sigstore: Ett projekt från Linux Foundation

Vad är Sigstore?

Enligt honom själv Sigstores officiella webbplats, samma är:

"Ett projekt skapat med målet att tillhandahålla en ideell allmännyttig tjänst för att förbättra öppen källkodsleverantörskedja genom att underlätta antagandet av programvarans kryptografiska signatur, som stöds av teknik för transparensregistrering. Dessutom försöker den att träna programutvecklare att säkert underteckna programvaruartiklar som släppfiler, containerbilder, binärfiler, materialförteckning och mer."

Dessutom syftar detta projekt till att säkerställa att:

"Det signerade materialet lagras i en manipuleringssäker allmän rekord."

Varför är Sigstore viktigt?

Detta projekt, dess verktyg och medlemmar, försöker undvika «attacker mot leverantörskedjan för programvara », som vad som hände med Solarwinds och andra välkända på senare tid.

"Microsoft sa att hackare äventyrade SolarWinds Orion-övervaknings- och hanteringsprogramvara, vilket gjorde det möjligt för dem att utge sig för alla befintliga användare och konton i organisationen, inklusive mycket privilegierade konton. Ryssland sägs ha utnyttjat lager av försörjningskedjan för att komma åt statliga myndighetssystem."

Relaterad artikel:
SolarWinds-hacket kan vara mycket värre än förväntat

Förstås av «angrepp på programvaruförsörjningskedjan » till den handling genom vilken, En hacker sätter in skadlig kod i legitim programvara för att sprida den överallt.

Därför är fria / öppna projekt som är gratis och enkla att genomföra, till exempel "Sigstore" de blir alltmer nödvändiga i vår tid.

Hur förhindrar jag attacker mot programvarukedjan?

Även om vi vid andra tillfällen har erbjudit några användbara råd om informationssäkerhet, praktiska för alla och när som helst eller i alla situationer, är följande tips direkt inriktade på att mildra denna typ av attack så mycket som möjligt:

Tips för datasäkerhet för alla när som helst
Relaterad artikel:
Tips för datasäkerhet för alla när som helst, var som helst
  1. Upprätthålla en inventering av alla egna och tredjeparts programvaruverktyg, både fria och öppna, och egna och stängda, som används.
  2. Var uppmärksam på kända och framtida sårbarheter, i alla applikationer och system som används, för att så snart som möjligt tillämpa de patchar som är officiellt tillgängliga.
  3. Håll dig informerad om upptäckta överträdelser eller attacker utförda till egna och tredjeparts programvaruleverantörer för att undvika oväntade överraskningar på dessa sätt.
  4. Eliminera på kortast möjliga tid de system, tjänster och protokoll som kan vara överflödiga (onödiga) eller föråldrade (oanvända).
  5. Planera och implementera gemensamma strategier och säkerhetskrav med dina programvaruleverantörer för att minimera IT-risken från dem och dina egna säkerhetsprocesser.
  6. Kör regelbundna kodgranskningar. Och håll uppdaterade säkerhetsgranskningar och ändra kontrollprocedurer som krävs för varje komponent i koden som skapas eller används.
  7. Utför rutininträngningstest för att identifiera potentiella faror på din datorplattform.
  8. Implementera IT-säkerhetsåtgärder som åtkomstkontroller och dubbelfaktorautentisering (2FA) för att skydda mjukvaruutvecklingsprocesser.
  9. Kör säkerhetsprogramvara med flera lager av skydd. Speciellt mot intrång, virus och raswares, så vanligt idag.
  10. Håll din säkerhetskopia eller beredskapsplan uppdaterad för att säkert underhålla vitala data för dina applikationer, system och aktiviteter (processer) och kunna återställa någon av dem på kortast möjliga tid.

Mer om Sigstore

Mer om sigstore

Slutligen, utvecklarna av "Sigstore" de förklarar lite hur projektet fungerar på följande sätt:

"sigstore utnyttjar befintlig x509 PKI-teknik och öppenhetsregister. Användare genererar kortlivade kortvariga nyckelpar med sigstore-klientverktygen. Sigstore PKI-tjänsten tillhandahåller sedan ett signeringscertifikat genererat efter ett framgångsrikt OpenID connect-bidrag. Alla certifikat registreras i ett certifikattransparensregister och material för signering av programvara skickas till ett signaturtransparensregister."

Mer om Sigstore

"Användning av transparensposter introducerar en tillitsrot till användarens OpenID-konto. Således kan vi ha garantier för att den anspråkade användaren hade kontroll över en identitetstjänstleverantörs konto vid signeringstillfället. När signeringsoperationen är klar kan nycklarna kasseras, vilket eliminerar behovet av ytterligare nyckelhantering eller behovet av återkallande eller rotation."

För mer information om "Sigstore" du kan besöka din officiella webbplats på GitHub och Gemenskap (grupp) allmänhetGoogle.

Sammanfattning: Olika publikationer

Sammanfattning

Vi hoppas det här "hjälpsamma lilla inlägg" på  «Sigstore», ett intressant och användbart projekt av Linux Foundationvilket är en öppenhetstjänst och programvarusignatur allmännyttiga och ideella, skapade för förbättra försörjningskedjan programvara med öppen källkod; vara av stort intresse och nytta för hela tiden «Comunidad de Software Libre y Código Abierto» och med stort bidrag till spridningen av det underbara, gigantiska och växande ekosystemet för applikationer av «GNU/Linux».

För nu, om du gillade det här publicación, Sluta inte dela det med andra, på dina favoritwebbplatser, kanaler, grupper eller grupper av sociala nätverk eller meddelandesystem, helst gratis, öppet och / eller säkrare som TelegramSignalMastodon eller en annan av Fediverse, företrädesvis.

Och kom ihåg att besöka vår hemsida på «Från Linux» för att utforska fler nyheter, samt gå med i vår officiella kanal Telegram från FromLinuxMedan du kan besöka vilken som helst för mer information Online-bibliotek som OpenLibra y jedit, för att komma åt och läsa digitala böcker (PDF-filer) om detta ämne eller andra.


Innehållet i artikeln följer våra principer om redaktionell etik. Klicka på för att rapportera ett fel här.

Bli först att kommentera

Lämna din kommentar

Din e-postadress kommer inte att publiceras.

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.