Sigstore: Project upang mapabuti ang bukas na chain ng supply ng mapagkukunan
Ngayon, pag-uusapan natin "Sigstore". Isa sa marami, ng libre at bukas na mga proyekto sa ilalim ng pagtuturo ng Linux Foundation.
"Sigstore" Karaniwan ito ay isang proyekto na nilikha upang magbigay ng isang serbisyo ng kabutihan sa publiko, hindi kumikita, upang mapabuti ang kadena ng suplay de bukas na mapagkukunan ng software pinadali ang pag-aampon ng pirma ng cryptographic ng software na sinusuportahan ng mga teknolohiyang pagpaparehistro ng transparency.
"Sigstore", Hindi lang yun Proyekto ng Linux Foundation na napag-usapan natin sa mga nakaraang okasyon. Isa pa sa kanila ay naging Automotive Baitang Linux, na inilalarawan namin sa oras tulad ng sumusunod:
"Ang Automotive grade (Kalidad) ng Linux ay isang bukas na mapagkukunang proyekto na nagtutulungan na pinagsasama-sama ang mga automaker, vendor at mga kumpanya ng teknolohiya upang mapabilis ang pag-unlad at pag-aampon ng isang buong bukas na stack ng software para sa kotse ng hinaharap. Sa core ng Linux, ang AGL ay bumubuo ng isang bukas na platform mula sa ground up na maaaring magsilbing pamantayan sa industriya ng de facto upang paganahin ang mabilis na pag-unlad ng mga bagong tampok at teknolohiya." Linux Foundation: Kasalukuyan sa Consumer Electronics Show 2020
Sa paglaon, sa hinaharap na mga pahayagan ay tatalakayin natin ang iba pang mga proyekto, ngunit para sa mga nais na tuklasin ang ilan sa kanila nang mag-isa, magagawa nila ito sa pamamagitan ng sumusunod na link: Mga proyekto ng Linux Foundation.
Sigstore: Isang proyekto ng Linux Foundation
Ano ang Sigstore?
Ayon sa kanyang sarili Opisyal na website ng Sigstore, ang pareho ay:
"Isang proyekto na nilikha na may layuning magbigay ng isang di-kumikitang mabuting serbisyo sa publiko upang mapagbuti ang bukas na mapagkukunan ng suplay ng software sa pamamagitan ng pagpapadali ng pag-aampon ng pirma ng cryptographic ng software, suportado ng mga teknolohiya ng pagpaparehistro ng transparency. Bilang karagdagan, sinusubukan nitong sanayin ang mga developer ng software na ligtas na pirmahan ang mga artifact ng software tulad ng mga file ng paglabas, mga imahe ng lalagyan, mga binary, bill ng mga materyal na manifest, at marami pa."
Bilang karagdagan, hinahangad ng proyektong ito na matiyak na:
"Ang mga naka-sign na materyal ay nakaimbak sa isang publikong rekord ng tamper-proof."
Bakit mahalaga ang Sigstore?
Ang proyektong ito, ang mga tool at kasapi nito, ay nais na iwasan «pag-atake sa kadena ng suplay ng software », tulad ng, kung ano ang nangyari sa Mga SolarWinds at iba pa na kilala sa mga nagdaang panahon.
"Sinabi ng Microsoft na ang mga hacker ay nakompromiso ang pagsubaybay at pamamahala ng software ng SolarWinds ', na pinapayagan silang gayahin ang anumang umiiral na gumagamit at account sa samahan, kabilang ang mga lubos na may pribilehiyong account. Sinasabing pinagsamantalahan ng Russia ang mga layer ng supply chain upang ma-access ang mga system ng ahensya ng gobyerno."
Intindihin ni «pag-atake sa kadena ng suplay ng software » sa kilos na kung saan, Ang isang hacker ay nagsisingit ng nakakahamak na code sa lehitimong software upang maikalat ito kahit saan.
Samakatuwid, libre / bukas na mga proyekto na libre at madaling ipatupad, tulad ng "Sigstore" sila ay lalong kinakailangan sa ating panahon.
Paano maiiwasan ang mga pag-atake sa chain ng supply ng software?
Bagaman, sa ibang mga okasyon, nag-aalok kami ng ilang kapaki-pakinabang na payo sa seguridad ng impormasyon, praktikal para sa lahat at sa anumang oras o sitwasyon, ang mga sumusunod na tip ay direktang nakatuon sa pagpapagaan ng ganitong uri ng pag-atake hangga't maaari:
- Panatilihin ang isang imbentaryo ng lahat ng iyong sarili at third-party na mga tool ng software, parehong libre at bukas, at pagmamay-ari at sarado, na ginagamit.
- Maging matulungin sa mga kilala at hinaharap na kahinaan, ng lahat ng mga application at system na ginamit, upang mailapat sa lalong madaling panahon ang mga patch na opisyal na magagamit.
- Manatiling may alam tungkol sa mga napansin na paglabag o pag-atake na isinasagawa, upang pagmamay-ari at mga third-party na nagbibigay ng software, upang maiwasan ang mga hindi inaasahang sorpresa sa mga paraang ito.
- Tanggalin sa pinakamaikling posibleng oras, ang mga system, serbisyo at protokol na maaaring kalabisan (hindi kinakailangan) o lipas na (hindi nagamit).
- Magplano at magpatupad ng magkasamang diskarte at mga kinakailangan sa seguridad sa iyong mga tagabigay ng software, upang mabawasan ang panganib sa IT mula sa kanila at sa iyong sariling mga proseso ng seguridad.
- Patakbuhin ang mga regular na pag-audit ng code. At panatilihin ang na-update na mga pagsusuri sa seguridad at baguhin ang mga pamamaraan sa pagkontrol, kinakailangan para sa bawat bahagi ng code na nilikha o ginamit.
- Magsagawa ng mga regular na pagsubok sa pagtagos upang makilala ang mga potensyal na panganib sa iyong computing platform.
- Ipapatupad ang mga hakbang sa seguridad ng IT tulad ng mga kontrol sa pag-access at pag-authenticate ng dobleng kadahilanan (2FA) upang maprotektahan ang mga proseso ng pag-unlad ng software.
- Patakbuhin ang software ng seguridad na may maraming mga layer ng proteksyon. Lalo na laban sa mga panghihimasok, virus at rasomwares, napaka-karaniwan sa mga panahong ito.
- Panatilihing napapanahon ang iyong backup o contingency plan, upang ligtas na mapanatili ang mahalagang data ng iyong mga application, system at aktibidad (proseso), at mababawi ang anuman sa mga ito, sa pinakamaikling panahon.
Dagdag pa tungkol sa signstore
Panghuli, ang mga tagabuo ng "Sigstore" ipinaliwanag nila nang kaunti ang pagpapatakbo ng proyektong ito sa sumusunod na paraan:
"signstore gumagamit ng umiiral na x509 mga teknolohiyang PKI at transparency na mga rehistro. Ang mga gumagamit ay bumubuo ng panandaliang mga ephemeral key na pares gamit ang mga tool ng sigstore client. Magbibigay ang serbisyong PKI ng sigstore ng isang sertipiko sa pag-sign na nabuo pagkatapos ng isang matagumpay na OpenID connect Grant. Ang lahat ng mga sertipiko ay naitala sa isang rehistro ng transparency ng transparency at ang mga materyales sa pag-sign ng software ay isinumite sa isang rehistro sa transparency ng lagda."
"Ang paggamit ng mga tala ng transparency ay nagpapakilala sa isang ugat ng pagtitiwala sa OpenID account ng gumagamit. Sa gayon maaari kaming magkaroon ng mga garantiya na ang na-claim na gumagamit ay nasa kontrol ng account ng isang tagapagbigay ng serbisyo sa pagkakakilanlan sa oras ng pag-sign. Kapag nakumpleto na ang pagpapatakbo ng pag-sign, ang mga key ay maaaring itapon, tinanggal ang anumang pangangailangan para sa karagdagang pamamahala ng key o ang pangangailangan para sa pagbawi o pag-ikot."
Para sa karagdagang impormasyon sa "Sigstore" maaari mong bisitahin ang iyong opisyal na website sa GitHub at Pamayanan (Pangkat) pampubliko sa Google.
Buod
Inaasahan namin na ito "kapaki-pakinabang maliit na post" sa «Sigstore», isang kagiliw-giliw at kapaki-pakinabang na proyekto ng Linux Foundationna kung saan ay transparency serbisyo at pirma ng software kabutihan sa publiko at di-kita, nilikha para sa mapabuti ang kadena ng suplay open source software; ay may malaking interes at utility, para sa kabuuan «Comunidad de Software Libre y Código Abierto» at ng malaking kontribusyon sa pagsasabog ng kamangha-mangha, naglalakihang at lumalaking ecosystem ng mga aplikasyon ng «GNU/Linux».
Sa ngayon, kung nagustuhan mo ito publicación, Huwag kang tumigil ibahagi ito kasama ng iba, sa iyong mga paboritong website, channel, grupo o komunidad ng mga social network o mga sistema ng pagmemensahe, mas mabuti na libre, bukas at / o mas ligtas bilang Telegrama, Senyas, Mastodon o iba pa ng Fediverse, mas mabuti.
At tandaan na bisitahin ang aming home page sa «DesdeLinux» upang galugarin ang higit pang mga balita, pati na rin sumali sa aming opisyal na channel ng Telegram ng DesdeLinux. Habang, para sa karagdagang impormasyon, maaari mong bisitahin ang anumang Online library bilang OpenLibra y jedit, upang ma-access at mabasa ang mga digital na libro (PDF) sa paksang ito o iba pa.