Sigstore: Açık kaynak tedarik zincirini iyileştirme projesi

Jose Albert

7 minutos

Sigstore: Açık kaynak tedarik zincirini iyileştirme projesi

Sigstore: Açık kaynak tedarik zincirini iyileştirme projesi

Bugün hakkında konuşacağız "Sigstore". Birçoğundan biri, ücretsiz ve açık projeler himayesi altında Linux Vakfı.

"Sigstore" Temel olarak, kar amacı gütmeyen bir kamu yararına hizmet sağlamak için oluşturulmuş bir projedir. tedarik zincirini geliştirmek de açık kaynaklı yazılım şeffaflık kayıt teknolojileri tarafından desteklenen yazılım kriptografik imzasının benimsenmesini kolaylaştırmak.

Otomotiv Sınıfı Linux

"Sigstore", tek değil Linux Vakfı projesi daha önce de bahsettiğimiz olay. Bunlardan bir diğeri oldu Otomotiv Sınıfı Linux, o zaman aşağıdaki gibi tanımlıyoruz:

"Automotive Grade (Kalite) Linux, geleceğin otomobili için tamamen açık bir yazılım yığınının geliştirilmesini ve benimsenmesini hızlandırmak için otomobil üreticilerini, satıcıları ve teknoloji şirketlerini bir araya getiren açık kaynaklı bir ortak projedir. AGL, özünde Linux bulunan, yeni özelliklerin ve teknolojilerin hızlı bir şekilde geliştirilmesini sağlamak için fiili endüstri standardı olarak hizmet edebilecek sıfırdan açık bir platform geliştiriyor.başlıklı bir kılavuz yayınladı Linux Vakfı: Tüketici Elektroniği Fuarı 2020'de Sunum

Linux Vakfı: Tüketici Elektroniği Fuarı 2020'de Sunum
İlgili makale:
Linux Vakfı: Tüketici Elektroniği Fuarı 2020'de Sunum
Otomotiv Sınıfı Linux
İlgili makale:
Otomotiv Sınıfı Linux sayesinde Linux yola çıktı

Daha sonraki yayınlarda başka projelere de değineceğiz, ancak bazılarını kendi başlarına keşfetmek isteyenler aşağıdaki bağlantıdan yapabilirler: Linux Vakfı projeleri.

Sigstore: Linux Vakfı'nın bir projesi

Sigstore: Linux Vakfı'nın bir projesi

Sigstore nedir?

Kendine göre Sigstore resmi web sitesiaynı şey:

"Şeffaflık kayıt teknolojileri tarafından desteklenen, yazılım kriptografik imzasının benimsenmesini kolaylaştırarak açık kaynaklı yazılım tedarik zincirini geliştirmek için kar amacı gütmeyen bir kamu malı hizmeti sağlamak amacıyla oluşturulmuş bir proje. Ayrıca, yazılım geliştiricilerini sürüm dosyaları, kapsayıcı görüntüleri, ikili dosyalar, malzeme listesi bildirimleri ve daha fazlası gibi yazılım yapılarını güvenli bir şekilde imzalamaları için eğitmeye çalışır.başlıklı bir kılavuz yayınladı

Ayrıca, bu proje şunları sağlamayı amaçlamaktadır:

"İmzalı materyaller, kurcalanmaya karşı korumalı bir kamu kaydında saklanır.başlıklı bir kılavuz yayınladı

Sigstore neden önemli?

Bu proje, araçları ve üyeleri, «yazılım tedarik zincirine saldırılar »ne oldu mesela SolarWinds ve son zamanlarda iyi bilinen diğerleri.

"Microsoft, bilgisayar korsanlarının SolarWinds'in Orion izleme ve yönetim yazılımını tehlikeye attığını ve yüksek ayrıcalıklı hesaplar da dahil olmak üzere kuruluştaki mevcut herhangi bir kullanıcıyı ve hesabı taklit etmelerine izin verdiğini söyledi. Rusya'nın devlet kurumu sistemlerine erişmek için tedarik zincirinin katmanlarını kullandığı söyleniyor.başlıklı bir kılavuz yayınladı

İlgili makale:
SolarWinds saldırısı beklenenden çok daha kötü olabilir

Tarafından anlaşılacak «yazılım tedarik zincirine saldırı » hangi eyleme, Bir bilgisayar korsanı, her yere yaymak için meşru yazılıma kötü amaçlı kod ekler.

Bu nedenle, ücretsiz ve uygulaması kolay ücretsiz / açık projeler, örneğin "Sigstore" günümüzde giderek daha gerekli hale gelmektedirler.

Yazılım tedarik zincirine yönelik saldırılar nasıl önlenir?

Diğer durumlarda, herkes için ve her zaman veya durumda pratik olan bazı yararlı bilgi güvenliği önerileri sunmuş olsak da, aşağıdaki ipuçları doğrudan bu tür saldırıları mümkün olduğunca azaltmaya odaklanmıştır:

Her Zaman Herkes İçin BT Güvenliği İpuçları
İlgili makale:
Her Zaman, Her Yerde Herkes İçin Bilgisayar Güvenliği İpuçları
  1. Kullanılan tüm ücretsiz ve açık, özel ve kapalı tüm yazılım araçlarının envanterini tutun.
  2. Resmi olarak mevcut olan yamaları mümkün olan en kısa sürede uygulamak için kullanılan tüm uygulama ve sistemlerin bilinen ve gelecekteki güvenlik açıklarına karşı dikkatli olun.
  3. Bu yollarla beklenmedik sürprizlerden kaçınmak için, kendi ve üçüncü taraf yazılım sağlayıcılarına tespit edilen ihlaller veya gerçekleştirilen saldırılar hakkında bilgi sahibi olun.
  4. Gereksiz (gereksiz) veya eski (kullanılmamış) olabilecek sistemleri, hizmetleri ve protokolleri mümkün olan en kısa sürede ortadan kaldırın.
  5. Onlardan ve kendi güvenlik süreçlerinizden kaynaklanan BT riskini en aza indirmek için yazılım sağlayıcılarınızla ortak stratejiler ve güvenlik gereksinimleri planlayın ve uygulayın.
  6. Düzenli kod denetimleri çalıştırın. Ve oluşturulan veya kullanılan kodun her bir bileşeni için gerekli olan güncel güvenlik incelemelerini ve değişiklik kontrol prosedürlerini tutun.
  7. Bilgi işlem platformunuzdaki olası tehlikeleri belirlemek için rutin sızma testleri gerçekleştirin.
  8. Yazılım geliştirme süreçlerini korumak için erişim kontrolleri ve çift faktörlü kimlik doğrulama (2FA) gibi BT güvenlik önlemleri uygulayın.
  9. Güvenlik yazılımını birden çok koruma katmanıyla çalıştırın. Özellikle izinsiz girişlere, virüslere ve rasomware'lere karşı, bu günlerde çok yaygın.
  10. için yedekleme veya acil durum planınızı güncel tutun. uygulamalarınızın, sistemlerinizin ve faaliyetlerinizin (süreçlerinizin) hayati verilerini güvenli bir şekilde muhafaza edin ve mümkün olan en kısa sürede herhangi birini kurtarın.

Sigstore hakkında daha fazla bilgi

Hakkında daha ayrıntılı mağaza

Son olarak, geliştiriciler "Sigstore" bu projenin işleyişini biraz şu şekilde açıklıyorlar:

"mağaza mevcut x509 PKI teknolojilerinden ve şeffaflık kayıtlarından yararlanır. Kullanıcılar, sigstore istemci araçlarını kullanarak kısa ömürlü geçici anahtar çiftleri oluşturur. Sigstore PKI hizmeti, başarılı bir OpenID bağlantı izninden sonra oluşturulan bir imzalama sertifikası sağlar. Tüm sertifikalar bir sertifika şeffaflık kaydına kaydedilir ve yazılım imzalama materyalleri bir imza şeffaflık kaydına sunulur.başlıklı bir kılavuz yayınladı

Sigstore hakkında daha fazla bilgi

"Şeffaflık kayıtlarının kullanılması, kullanıcının OpenID hesabına bir güven kökü sağlar. Bu nedenle, iddia edilen kullanıcının imzalama sırasında bir kimlik hizmeti sağlayıcısının hesabının kontrolünde olduğunu garanti edebiliriz. İmzalama işlemi tamamlandıktan sonra, anahtarlar atılabilir, bu da herhangi bir ek anahtar yönetimi veya iptal veya döndürme gereksinimini ortadan kaldırır.başlıklı bir kılavuz yayınladı

Hakkında daha fazla bilgi için "Sigstore" ziyaret edebilirsin GitHub'daki resmi web sitesi ve Topluluk (Grup) genel üzerinde Google.

Özet: Çeşitli yayınlar

Resumen

Bunu umuyoruz "yararlı küçük gönderibaşlıklı bir kılavuz yayınladı üzerinde  «Sigstore»ilginç ve faydalı bir projedir. Linux Vakfıhangisi şeffaflık hizmeti ve yazılım imzası için oluşturulan kamu yararı ve kar amacı gütmeyen tedarik zincirini geliştirmek açık kaynaklı yazılım; tamamı için büyük ilgi ve fayda sağlar. «Comunidad de Software Libre y Código Abierto» ve harika, devasa ve büyüyen ekosistemin yayılmasına büyük katkı sağlar. «GNU/Linux».

Şimdilik, bunu beğendiyseniz publicación, Durma paylaş başkalarıyla, favori web sitelerinizde, kanallarınızda, gruplarınızda veya sosyal ağların veya mesajlaşma sistemlerinde, tercihen ücretsiz, açık ve / veya daha güvenli  TelegramişaretMastodon veya başka biri Fediversetercihen.

Ve ana sayfamızı ziyaret etmeyi unutmayın: «FromLinux» daha fazla haber keşfetmek ve resmi kanalımıza katılmak için DesdeLinux'tan TelgrafDaha fazla bilgi için herhangi birini ziyaret edebilirsiniz. Çevrimiçi kitaplık olarak OpenLibra y jedit, bu konudaki dijital kitaplara (PDF'ler) erişmek ve bunları okumak için.