Sigstore, dasturiy ta'minotning kelib chiqishi va haqiqiyligini tekshirish uchun bepul xizmat

Bepul dastur ta'minot zanjiri xavfsizligini ta'minlash maqsadida Linux fondi (ochiq manbalar orqali innovatsiyalarni qo'llab-quvvatlovchi notijorat tashkilot) Red Hat, Google va Purdue universiteti bilan hamkorlikda ishga tushirildi dasturchilarga dasturiy ta'minotda kriptografik imzoni osongina qabul qilishda yordam beradigan yangi loyiha.

este yangi loyiha rekord shaffoflik texnologiyalari bilan qo'llab-quvvatlanadi, chunki ochiq manbali dasturiy ta'minotni sanoat tomonidan qabul qilish darajasi tobora ortib bormoqda, loyiha, Sigstore, ommaviy dasturiy ta'minot omboriga qilingan hujumni ta'minot zanjiriga buzuq kodni kiritishining oldini olishga qaratilgan.

tashrif do'koni dasturiy ta'minot ishlab chiquvchilariga ishonchli imzo qo'yishga imkon beradi versiya fayllari, konteyner rasmlari va ikkilik kabi dasturiy ta'minot artefaktlari. Imzolangan narsalar buzilmaslikka oid jurnalda saqlanishi aytilgan.

SigStore dasturchilarga dasturlarning kelib chiqishi va haqiqiyligini tushunishga va tasdiqlashga imkon beradi, bu ko'pincha turli xil yondashuvlar to'plami va ma'lumotlar formatiga asoslangan. Mavjud echimlar ko'pincha xavfli tizimlarda saqlanadigan "xulosalar" ga (xash yoki xash funktsiyasining natijalari) asoslangan bo'lib, ular buzilishi va turli xil hujumlarga olib kelishi mumkin, masalan, xash almashinuvi yoki xash funktsiyasi, foydalanuvchilarga qarshi hujumlar.

Xizmatdan foydalanish barcha dasturiy ta'minot ishlab chiqaruvchilari va sotuvchilari uchun bepul bo'ladiva SigStore hamjamiyati sigstore uchun kod va operatsion vositalarni ishlab chiqadi. Red Hat, Google va Purdue universiteti loyihaning asoschilaridan biri.

"Sigstore barcha ochiq manbali jamoalarga o'zlarining dasturiy ta'minotlarini imzolashga imkon beradi va shaffof va tekshiriladigan dastur ta'minoti zanjirini yaratish uchun sinchkovlik, yaxlitlik va kashfiyotni birlashtiradi", dedi Lyuk Xinds, Red Hat CTO ofisi bosh xavfsizlik xizmati xodimi. "Ushbu hamkorlikka Linux fondida mezbonlik qilish orqali biz sigstore-dagi ishimizni tezlashtira olamiz va ochiq manbali dasturiy ta'minotni ishlab chiqish va rivojlantirishning doimiy ta'sirini qo'llab-quvvatlaymiz."

"Dasturiy ta'minotni amalga oshirishni ta'minlash, bizda mavjud deb o'ylaydigan dasturni ishga tushirishda ishonch hosil qilishdan boshlanishi kerak. sigstore ochiq manbali dastur ta'minoti zanjiriga ko'proq ishonch va shaffoflikni ta'minlash uchun ajoyib imkoniyatni taqdim etadi ", dedi Josh Aas,

Zamonaviy dastur ta'minoti zanjiri ko'plab xavflarga duch kelishini ta'kidlab, loyihada mavjud vositalar mavjud, bu kalitlarni imzolash uchun shaxsan uchrashadigan va shu vaqtgacha yaxshi ishlagan odamlarni o'z ichiga oladi, geografik jihatdan tarqalgan hududlar mavjud bo'lgan bugungi sharoitda endi erishib bo'lmaydi.

Bundan tashqari, bu haqda aytib o'tilgan dasturiy ta'minot versiyasi artefaktlarini kriptografik tarzda imzolaydigan ochiq manbali loyihalar juda kam. Bu, asosan, dasturiy ta'minotni qo'llab-quvvatlovchilarining asosiy boshqaruv, asosiy murosaga kelish, ochiq kalitlarni va xashak buyumlarini bekor qilish va tarqatishda duch keladigan muammolari bilan bog'liq. Bu shuni anglatadiki, foydalanuvchilar qaysi kalitlarga ishonish kerakligini aniqlab olishlari va imzoni tasdiqlash uchun zarur bo'lgan qadamlarni o'rganishlari kerak.

«Sigstore ochiq manbali dasturiy ta'minotning barcha versiyalarini tekshiriladigan va foydalanuvchilar tomonidan tekshirilishini osonlashtirishga qaratilgan. Umid qilamizki, biz buni vim-dan chiqish kabi osonlashtiramiz », - dedi Dan Lorens, Google-ning ochiq kodli dasturiy ta'minot xavfsizligi guruhining dastur muhandisi. 

Yana bir muammo - bu xeshlar va ochiq kalitlarning qanday taqsimlanishi: ular ko'pincha buzilishi mumkin bo'lgan veb-saytlarda yoki umumiy git omborida joylashgan README faylida saqlanadi.

SigStore ushbu muammolarni ochiq va tekshiriladigan jamoat shaffofligi registridan olingan ishonch ildiziga ega qisqa muddatli efemer kalitlari yordamida hal qilishga intiladi. Yangi xizmat ishlab chiquvchilar va foydalanuvchilarga dasturiy ta'minotning kelib chiqishi va haqiqiyligini minimal qo'shimcha xarajatlar bilan tushunishga va tasdiqlashga yordam beradi.

«Men sigstore kabi tizimdan juda xursandman. Dasturiy ta'minot ekotizimi zudlik bilan ta'minot zanjiri holati to'g'risida hisobot berish uchun bunday tizimga muhtoj. Menimcha, dasturiy ta'minot manbalari va egalikka oid barcha savollarga javob beradigan sigstore bilan biz jinoiy tarmoqlarni aniqlash va muhim dasturiy ta'minot infratuzilmalarini xavfsizligini ta'minlash uchun dasturiy ta'minot yo'nalishlari, iste'molchilar, muvofiqligi (qonuniy va boshqa) to'g'risida savollar berishni boshlashimiz mumkin. ", Dedi Santiago Torres-Arias.

 


Maqolaning mazmuni bizning printsiplarimizga rioya qiladi muharrirlik etikasi. Xato haqida xabar berish uchun bosing bu erda.

Birinchi bo'lib izohlang

Fikringizni qoldiring

Sizning email manzilingiz chop qilinmaydi.

*

*

  1. Ma'lumotlar uchun javobgardir: Migel Anxel Gaton
  2. Ma'lumotlarning maqsadi: SPAMni boshqarish, izohlarni boshqarish.
  3. Qonuniylashtirish: Sizning roziligingiz
  4. Ma'lumotlar haqida ma'lumot: qonuniy majburiyatlar bundan mustasno, ma'lumotlar uchinchi shaxslarga etkazilmaydi.
  5. Ma'lumotlarni saqlash: Occentus Networks (EU) tomonidan joylashtirilgan ma'lumotlar bazasi
  6. Huquqlar: istalgan vaqtda siz ma'lumotlaringizni cheklashingiz, tiklashingiz va o'chirishingiz mumkin.