Sigstore: โครงการปรับปรุงห่วงโซ่อุปทานโอเพ่นซอร์ส
วันนี้เราจะมาพูดถึง "ซิกสโตร์". หนึ่งในหลาย ๆ แห่งของ โครงการฟรีและเปิดกว้าง ภายใต้การปกครองของ มูลนิธิ Linux.
"ซิกสโตร์" โดยพื้นฐานแล้วเป็นโครงการที่สร้างขึ้นเพื่อให้บริการสาธารณะที่ไม่แสวงหาผลกำไรเพื่อ ปรับปรุงห่วงโซ่อุปทาน de ซอฟต์แวร์โอเพ่นซอร์ส อำนวยความสะดวกในการใช้ลายเซ็นเข้ารหัสของซอฟต์แวร์ซึ่งสนับสนุนโดยเทคโนโลยีการลงทะเบียนเพื่อความโปร่งใส
"ซิกสโตร์",ไม่ใช่คนเดียว โครงการมูลนิธิลินุกซ์ ที่เราได้พูดคุยกันในคราวที่แล้ว อีกคนหนึ่งเคยเป็น ลินุกซ์เกรดยานยนต์ซึ่งเราอธิบายในเวลานั้นดังนี้:
"Automotive Grade (Quality) Linux เป็นโครงการความร่วมมือแบบโอเพ่นซอร์สที่รวบรวมผู้ผลิตรถยนต์ ผู้จำหน่าย และบริษัทเทคโนโลยีต่างๆ เพื่อเร่งการพัฒนาและการนำซอฟต์แวร์สแต็กแบบเปิดมาใช้อย่างสมบูรณ์สำหรับรถยนต์แห่งอนาคต ด้วยลีนุกซ์เป็นแกนหลัก AGL กำลังพัฒนาแพลตฟอร์มแบบเปิดตั้งแต่พื้นฐาน ซึ่งสามารถใช้เป็นมาตรฐานอุตสาหกรรมโดยพฤตินัย เพื่อให้สามารถพัฒนาคุณลักษณะและเทคโนโลยีใหม่ได้อย่างรวดเร็ว" Linux Foundation: นำเสนอในงาน Consumer Electronics Show 2020
ต่อมาในสิ่งพิมพ์ในอนาคต เราจะกล่าวถึงโครงการอื่นๆ แต่สำหรับผู้ที่ต้องการสำรวจบางโครงการด้วยตนเอง สามารถทำได้ผ่านลิงก์ต่อไปนี้: โครงการมูลนิธิลินุกซ์.
Sigstore: โครงการของมูลนิธิลินุกซ์
Sigstore คืออะไร?
ตามตัวเขาเอง เว็บไซต์อย่างเป็นทางการของ Sigstoreเช่นเดียวกับ:
"โครงการที่สร้างขึ้นโดยมีวัตถุประสงค์เพื่อให้บริการสาธารณะที่ไม่หวังผลกำไรเพื่อปรับปรุงห่วงโซ่อุปทานซอฟต์แวร์โอเพนซอร์ซโดยอำนวยความสะดวกในการนำซอฟต์แวร์เข้ารหัสลายเซ็นซึ่งได้รับการสนับสนุนโดยเทคโนโลยีการลงทะเบียนเพื่อความโปร่งใส นอกจากนี้ ยังพยายามฝึกอบรมนักพัฒนาซอฟต์แวร์ให้เซ็นชื่ออย่างปลอดภัยในสิ่งประดิษฐ์ของซอฟต์แวร์ เช่น ไฟล์เผยแพร่ รูปภาพคอนเทนเนอร์ ไบนารี รายการรายการวัสดุ และอื่นๆ"
นอกจากนี้ โครงการนี้ยังพยายามที่จะให้แน่ใจว่า:
"วัสดุที่ลงนามจะถูกเก็บไว้ในบันทึกสาธารณะที่ป้องกันการงัดแงะ"
เหตุใด Sigstore จึงมีความสำคัญ
โครงการนี้ เครื่องมือและสมาชิก พยายามที่จะหลีกเลี่ยง «การโจมตีห่วงโซ่อุปทานซอฟต์แวร์ »เช่น เกิดอะไรขึ้นกับ SolarWinds และอื่น ๆ ที่รู้จักกันดีในครั้งล่าสุด
"Microsoft กล่าวว่าแฮกเกอร์บุกรุกซอฟต์แวร์ตรวจสอบและจัดการ Orion ของ SolarWinds ทำให้พวกเขาสามารถปลอมแปลงเป็นผู้ใช้และบัญชีที่มีอยู่ในองค์กรรวมถึงบัญชีที่มีสิทธิพิเศษสูง กล่าวกันว่ารัสเซียได้ใช้ประโยชน์จากชั้นของห่วงโซ่อุปทานเพื่อเข้าถึงระบบหน่วยงานของรัฐ"
เข้าใจโดย «โจมตีห่วงโซ่อุปทานซอฟต์แวร์ » ต่อการกระทำโดย แฮ็กเกอร์แทรกโค้ดที่เป็นอันตรายลงในซอฟต์แวร์ที่ถูกต้องเพื่อกระจายไปทุกที่
ดังนั้นโครงการฟรี / เปิดที่ใช้งานได้ฟรีและใช้งานง่ายเช่น "ซิกสโตร์" มีความจำเป็นมากขึ้นในสมัยของเรา
จะป้องกันการโจมตีซัพพลายเชนของซอฟต์แวร์ได้อย่างไร?
แม้ว่าในบางครั้ง เราได้เสนอคำแนะนำด้านความปลอดภัยของข้อมูลที่เป็นประโยชน์ ซึ่งเป็นประโยชน์สำหรับทุกคนและทุกเวลาหรือทุกสถานการณ์ คำแนะนำต่อไปนี้มุ่งเน้นโดยตรงในการบรรเทาการโจมตีประเภทนี้ให้มากที่สุด:
- รักษาสินค้าคงคลังของเครื่องมือซอฟต์แวร์ของบริษัทและบุคคลที่สามทั้งหมด ทั้งแบบฟรีและแบบเปิด และเป็นกรรมสิทธิ์และแบบปิดที่ใช้
- ระวังช่องโหว่ที่ทราบและในอนาคตของแอปพลิเคชันและระบบทั้งหมดที่ใช้ เพื่อปรับใช้แพตช์ที่พร้อมใช้งานอย่างเป็นทางการโดยเร็วที่สุด
- รับข่าวสารเกี่ยวกับการละเมิดที่ตรวจพบหรือการโจมตีที่เกิดขึ้นกับเจ้าของและผู้ให้บริการซอฟต์แวร์บุคคลที่สาม เพื่อหลีกเลี่ยงความประหลาดใจที่ไม่คาดคิดในลักษณะเหล่านี้
- กำจัดระบบ บริการ และโปรโตคอลที่อาจซ้ำซ้อน (ไม่จำเป็น) หรือล้าสมัย (ไม่ได้ใช้) ในเวลาที่สั้นที่สุด
- วางแผนและใช้กลยุทธ์ร่วมกันและข้อกำหนดด้านความปลอดภัยกับผู้ให้บริการซอฟต์แวร์ของคุณเพื่อลดความเสี่ยงด้านไอทีจากพวกเขาและกระบวนการรักษาความปลอดภัยของคุณเอง
- เรียกใช้การตรวจสอบรหัสปกติ และคอยตรวจสอบความปลอดภัยที่อัปเดตและขั้นตอนการควบคุมการเปลี่ยนแปลงที่จำเป็นสำหรับแต่ละองค์ประกอบของรหัสที่สร้างหรือใช้งาน
- ทำการทดสอบการเจาะระบบเป็นประจำเพื่อระบุอันตรายที่อาจเกิดขึ้นบนแพลตฟอร์มคอมพิวเตอร์ของคุณ
- ใช้มาตรการรักษาความปลอดภัยด้านไอที เช่น การควบคุมการเข้าถึงและการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) เพื่อปกป้องกระบวนการพัฒนาซอฟต์แวร์
- เรียกใช้ซอฟต์แวร์ความปลอดภัยที่มีการป้องกันหลายชั้น โดยเฉพาะอย่างยิ่งกับการบุกรุก ไวรัส และราซัมแวร์ ซึ่งพบได้ทั่วไปในทุกวันนี้
- ปรับปรุงแผนสำรองหรือแผนฉุกเฉินของคุณให้เป็นปัจจุบันอยู่เสมอ เพื่อที่จะ รักษาข้อมูลสำคัญของแอปพลิเคชัน ระบบ และกิจกรรม (กระบวนการ) ของคุณอย่างปลอดภัย และสามารถกู้คืนข้อมูลเหล่านี้ได้ในเวลาที่สั้นที่สุด
ข้อมูลเพิ่มเติมเกี่ยวกับ ซิกสโตร์
สุดท้ายนี้ ผู้พัฒนา "ซิกสโตร์" พวกเขาอธิบายการดำเนินงานของโครงการนี้เล็กน้อยด้วยวิธีต่อไปนี้:
"ซิกสโตร์ ใช้ประโยชน์จากเทคโนโลยี x509 PKI ที่มีอยู่และการลงทะเบียนความโปร่งใส ผู้ใช้สร้างคู่คีย์ชั่วคราวที่มีอายุสั้นโดยใช้เครื่องมือไคลเอ็นต์ sigstore จากนั้นบริการ sigstore PKI จะให้ใบรับรองการลงนามที่สร้างขึ้นหลังจากให้สิทธิ์การเชื่อมต่อ OpenID สำเร็จ ใบรับรองทั้งหมดจะถูกบันทึกไว้ในการลงทะเบียนความโปร่งใสของใบรับรองและเอกสารการลงนามซอฟต์แวร์จะถูกส่งไปยังการลงทะเบียนความโปร่งใสของลายเซ็น"
"การใช้บันทึกความโปร่งใสทำให้เกิดความเชื่อถือในบัญชี OpenID ของผู้ใช้ ดังนั้นเราจึงสามารถรับประกันได้ว่าผู้ใช้ที่อ้างสิทธิ์นั้นอยู่ในการควบคุมบัญชีของผู้ให้บริการข้อมูลประจำตัวในขณะที่ลงนาม เมื่อดำเนินการลงนามเสร็จสิ้นแล้ว คุณสามารถทิ้งคีย์ได้ โดยไม่จำเป็นต้องมีการจัดการคีย์เพิ่มเติม หรือความจำเป็นในการเพิกถอนหรือหมุนเวียน"
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ "ซิกสโตร์" คุณสามารถเยี่ยมชมของคุณ เว็บไซต์อย่างเป็นทางการบน GitHub และ ชุมชน (กลุ่ม) สาธารณะ บน Google.
ข้อมูลอย่างย่อ
เราหวังว่าสิ่งนี้ "โพสต์เล็ก ๆ น้อย ๆ ที่มีประโยชน์" บน «Sigstore», โครงการที่น่าสนใจและมีประโยชน์ของ มูลนิธิ Linuxซึ่งเป็น บริการโปร่งใสและลายเซ็นซอฟต์แวร์ สาธารณประโยชน์และไม่แสวงหาผลกำไร สร้างขึ้นเพื่อ ปรับปรุงห่วงโซ่อุปทาน ซอฟต์แวร์โอเพ่นซอร์ส เป็นประโยชน์และเป็นประโยชน์ต่อส่วนรวม «Comunidad de Software Libre y Código Abierto» และมีส่วนช่วยอย่างมากต่อการแพร่กระจายของระบบนิเวศที่ยอดเยี่ยมขนาดมหึมาและการเติบโตของการใช้งาน «GNU/Linux».
สำหรับตอนนี้ถ้าคุณชอบสิ่งนี้ publicación, อย่าหยุด แบ่งปัน กับผู้อื่นบนเว็บไซต์ช่องทางกลุ่มหรือชุมชนเครือข่ายสังคมหรือระบบการส่งข้อความที่คุณชื่นชอบโดยเฉพาะอย่างยิ่งฟรีเปิดกว้างและ / หรือปลอดภัยมากขึ้นตาม Telegram, สัญญาณ, สัตว์แมสทอดอน หรืออื่น ๆ ของ Fediverseโดยเฉพาะอย่างยิ่ง
และอย่าลืมเยี่ยมชมหน้าแรกของเราที่ «DesdeLinux» เพื่อสำรวจข่าวสารเพิ่มเติมรวมทั้งเข้าร่วมช่องทางการของเราที่ โทรเลขของ DesdeLinux. ในขณะที่สำหรับข้อมูลเพิ่มเติมคุณสามารถไปที่ใดก็ได้ ห้องสมุดออนไลน์ ในขณะที่ OpenLibra y เจดไอที, เพื่อเข้าถึงและอ่านหนังสือดิจิทัล (PDF) ในหัวข้อนี้หรืออื่น ๆ