Sigstore: Проект щодо вдосконалення ланцюжка поставок з відкритим кодом
Сьогодні ми поговоримо про "Sigstore". Один з багатьох, з безкоштовні та відкриті проекти під опікою Linux Foundation.
"Sigstore" В основному це проект, створений для надання некомерційного суспільного добробуту покращити ланцюжок поставок de програмне забезпечення з відкритим кодом сприяння прийняттю програмного криптографічного підпису, підкріпленого технологіями прозорості реєстрації.
"Sigstore", Це не єдиний Проект Linux Foundation про які ми вже говорили раніше. Ще один з них був Автомобільний клас Linux, який ми описуємо на той час наступним чином:
"Автомобільна оцінка (якість) Linux - це спільний проект з відкритим кодом, який об’єднує автовиробників, продавців та технологічні компанії, щоб пришвидшити розробку та прийняття повністю відкритого пакету програмного забезпечення для автомобіля майбутнього. Починаючи з Linux, AGL розробляє відкриту платформу з нуля, яка може служити фактичним галузевим стандартом для швидкого розвитку нових функцій та технологій." Фонд Linux: присутній на Consumer Electronics Show 2020
Згодом у наступних публікаціях ми розглянемо інші проекти, але для тих, хто хоче дослідити деякі з них самостійно, вони можуть зробити це за таким посиланням: Проекти Linux Foundation.
Sigstore: Проект Linux Foundation
Що таке Sigstore?
За його словами Офіційний веб-сайт Sigstore, те саме:
"Проект, створений з метою надання некомерційної послуги для загального користування для вдосконалення ланцюжка постачання програмного забезпечення з відкритим кодом шляхом сприяння прийняттю криптографічного підпису програмного забезпечення за підтримки технологій реєстрації прозорості. Крім того, він намагається навчити розробників програмного забезпечення надійно підписувати такі артефакти програмного забезпечення, як файли випусків, зображення контейнерів, двійкові файли, маніфести макета матеріалів тощо."
Крім того, цей проект спрямований на те, щоб:
"Підписані матеріали зберігаються у відкритих документах, захищених від фальсифікацій."
Чому Sigstore важливий?
Цей проект, його інструменти та учасники намагається уникати «атаки на ланцюжок постачання програмного забезпечення », наприклад, що сталося з SolarWinds та інші, добре відомі останнім часом.
"Microsoft заявила, що хакери скомпрометували програмне забезпечення для моніторингу та управління Orion від SolarWinds, дозволяючи їм видавати себе за будь-якого існуючого користувача та обліковий запис в організації, включаючи високопривілейовані облікові записи. Кажуть, що Росія використовувала рівні ланцюжка поставок для доступу до систем державних агентств."
Будьте зрозумілі «атака на ланцюжок постачання програмного забезпечення » до акту, за допомогою якого, Хакер вставляє шкідливий код у законне програмне забезпечення, щоб розповсюдити його скрізь.
Отже, безкоштовні / відкриті проекти, які є безкоштовними та простими у реалізації, такі як "Sigstore" вони все більше необхідні в наш час.
Як запобігти атакам на ланцюжок постачання програмного забезпечення?
Хоча в інших випадках ми пропонували корисні поради щодо інформаційної безпеки, практичні для всіх і в будь-який час чи ситуацію, наступні поради безпосередньо спрямовані на пом’якшення цього типу нападів наскільки це можливо:
- Ведіть інвентаризацію всіх власних та сторонніх програмних засобів, як безкоштовних, так і відкритих, а також власних та закритих, які використовуються.
- Будьте уважні до відомих та майбутніх вразливостей усіх застосованих програм та систем, щоб якомога швидше застосувати виправлення, які є офіційно доступними.
- Будьте в курсі власних та сторонніх постачальників програмного забезпечення про виявлені порушення або здійснені атаки, щоб уникнути несподіваних сюрпризів цими способами
- Усуньте в найкоротші терміни ті системи, послуги та протоколи, які можуть бути зайвими (непотрібними) або застарілими (невикористаними).
- Плануйте та впроваджуйте спільні стратегії та вимоги до безпеки з вашими постачальниками програмного забезпечення, щоб мінімізувати ІТ-ризик від них та ваші власні процеси безпеки.
- Запускайте регулярні перевірки коду. І постійно оновлюйте огляди безпеки та процедури контролю змін, необхідні для кожного компонента коду, створеного або використовуваного.
- Проводьте рутинні тести на проникнення, щоб виявити потенційні небезпеки на вашій обчислювальній платформі.
- Впровадити заходи ІТ-безпеки, такі як контроль доступу та двофакторна автентифікація (2FA) для захисту процесів розробки програмного забезпечення.
- Запустіть програмне забезпечення безпеки з декількома рівнями захисту. Особливо проти вторгнень, вірусів та шкідливих програм, так поширених у наші дні.
- Оновлюйте резервний план або план на випадок непередбачених ситуацій безпечно зберігати життєво важливі дані своїх додатків, систем та заходів (процесів) і мати можливість відновити будь-яку з них за найкоротший час.
Більше про sigstore
Нарешті, розробники "Sigstore" вони трохи пояснюють роботу цього проекту наступним чином:
"sigstore використовує існуючі технології x509 PKI та реєстри прозорості. Користувачі генерують короткочасні пари ефемерних ключів за допомогою інструментів клієнта sigstore. Потім служба PKI Sigstore надасть сертифікат підписання, згенерований після успішного надання дозволу на підключення OpenID. Усі сертифікати реєструються в реєстрі прозорості сертифікатів, а матеріали для підписання програмного забезпечення подаються до реєстру прозорості підписів."
"Використання записів прозорості вводить корінь довіри до облікового запису OpenID користувача. Таким чином, ми можемо мати гарантії того, що заявлений користувач контролював рахунок облікового запису постачальника ідентифікаційних послуг на момент підписання. Після завершення операції підписання ключі можна відкинути, усуваючи будь-яку потребу в додатковому управлінні ключами або необхідність відкликання або обертання."
Для отримання додаткової інформації про "Sigstore" Ви можете відвідати ваш офіційний веб-сайт на GitHub і Громада (група) громадськість на Google.
Резюме
Ми сподіваємось на це "корисний маленький пост" на «Sigstore», цікавий та корисний проект Linux Foundationщо є служба прозорості та підпис програмного забезпечення суспільне благо і некомерційна діяльність, створена для покращити ланцюжок поставок програмне забезпечення з відкритим кодом; представляє великий інтерес та корисність для цілого «Comunidad de Software Libre y Código Abierto» і великий внесок у розповсюдження чудової, гігантської та зростаючої екосистеми програм «GNU/Linux».
Поки що, якщо вам це сподобалось publicación, Не зупиняйся поділитися ним з іншими, на ваших улюблених веб-сайтах, каналах, групах або спільнотах соціальних мереж або систем обміну повідомленнями, бажано безкоштовно, відкрито та / або більш безпечно, як Telegram, Сигнал, Мастодонт або інший з Fediverse, бажано.
І не забудьте відвідати нашу домашню сторінку за адресою «DesdeLinux» вивчати більше новин, а також приєднуватися до нашого офіційного каналу Телеграма о DesdeLinux. Хоча для отримання додаткової інформації ви можете відвідати будь-яку Інтернет-бібліотека як OpenLibra y jedit, для доступу та читання цифрових книг (PDF) на цю тему чи інших.