Sigstore: Dự án cải thiện chuỗi cung ứng nguồn mở
Hôm nay, chúng ta sẽ nói về "Sigstore". Một trong số nhiều, trong số dự án miễn phí và mở dưới sự giám hộ của Nền tảng Linux.
"Sigstore" Về cơ bản, nó là một dự án được tạo ra để cung cấp một dịch vụ công cộng phi lợi nhuận, để cải thiện chuỗi cung ứng de phần mềm nguồn mở tạo điều kiện cho việc áp dụng chữ ký mật mã phần mềm được hỗ trợ bởi các công nghệ đăng ký minh bạch.
"Sigstore", Nó không phải là người duy nhất Dự án Linux Foundation mà chúng ta đã nói đến trong những dịp trước. Một trong số họ đã được Lớp ô tô Linux, mà chúng tôi mô tả vào thời điểm đó như sau:
"Automotive Grade (Quality) Linux là một dự án hợp tác mã nguồn mở đang tập hợp các nhà sản xuất ô tô, nhà cung cấp và công ty công nghệ để đẩy nhanh sự phát triển và áp dụng một phần mềm hoàn toàn mở cho ô tô của tương lai. Với cốt lõi là Linux, AGL đang phát triển một nền tảng mở ngay từ đầu có thể đóng vai trò là tiêu chuẩn công nghiệp trên thực tế để cho phép phát triển nhanh chóng các tính năng và công nghệ mới." Quỹ Linux: Có mặt tại Triển lãm Điện tử Tiêu dùng 2020
Sau đó, trong các ấn phẩm trong tương lai, chúng tôi sẽ đề cập đến các dự án khác, nhưng đối với những người muốn tự mình khám phá một số dự án, họ có thể làm như vậy thông qua liên kết sau: Các dự án của Quỹ Linux.
Sigstore: Một dự án của Quỹ Linux
Sigstore là gì?
Theo mình Trang web chính thức của Sigstore, tương tự là:
"Một dự án được tạo ra với mục tiêu cung cấp dịch vụ công phi lợi nhuận nhằm cải thiện chuỗi cung ứng phần mềm nguồn mở bằng cách tạo điều kiện thuận lợi cho việc áp dụng chữ ký mật mã phần mềm, được hỗ trợ bởi các công nghệ đăng ký minh bạch. Ngoài ra, nó cố gắng đào tạo các nhà phát triển phần mềm ký một cách an toàn các tạo tác phần mềm như tệp phát hành, hình ảnh vùng chứa, tệp nhị phân, bản kê khai hóa đơn nguyên vật liệu, v.v."
Ngoài ra, dự án này còn tìm cách đảm bảo rằng:
"Các tài liệu đã ký được lưu trữ trong một hồ sơ công khai chống giả mạo."
Tại sao Sigstore lại quan trọng?
Dự án này, các công cụ và thành viên của nó, tìm cách tránh «tấn công vào chuỗi cung ứng phần mềm », chẳng hạn như, điều gì đã xảy ra với SolarWinds và những người khác được nhiều người biết đến trong thời gian gần đây.
"Microsoft cho biết tin tặc đã xâm nhập phần mềm quản lý và giám sát Orion của SolarWinds, cho phép chúng mạo danh bất kỳ người dùng và tài khoản hiện có nào trong tổ chức, bao gồm cả các tài khoản có đặc quyền cao. Nga được cho là đã khai thác các lớp của chuỗi cung ứng để tiếp cận các hệ thống cơ quan chính phủ."
Được hiểu bởi «tấn công vào chuỗi cung ứng phần mềm » hành động theo đó, Một hacker chèn mã độc vào phần mềm hợp pháp để phát tán nó khắp nơi.
Do đó, các dự án mở / tự do miễn phí và dễ thực hiện, chẳng hạn như "Sigstore" chúng ngày càng cần thiết trong thời đại của chúng ta.
Làm thế nào để ngăn chặn các cuộc tấn công vào chuỗi cung ứng phần mềm?
Mặc dù, trong những trường hợp khác, chúng tôi đã đưa ra một số lời khuyên hữu ích về bảo mật thông tin, thiết thực cho mọi người và tại bất kỳ thời điểm hay tình huống nào, các mẹo sau đây tập trung trực tiếp vào việc giảm thiểu loại tấn công này nhiều nhất có thể:
- Duy trì một kho của tất cả các công cụ phần mềm của bên thứ ba và miễn phí, cả miễn phí và mở, độc quyền và đóng cửa, được sử dụng.
- Hãy nhận biết các lỗ hổng đã biết và trong tương lai, của tất cả các ứng dụng và hệ thống được sử dụng, để áp dụng các bản vá chính thức có sẵn càng sớm càng tốt.
- Luôn được thông báo về các vi phạm được phát hiện hoặc các cuộc tấn công được thực hiện, cho các nhà cung cấp phần mềm bên thứ ba và sở hữu, để tránh những bất ngờ không mong muốn theo những cách này.
- Loại bỏ trong thời gian ngắn nhất có thể những hệ thống, dịch vụ và giao thức có thể dư thừa (không cần thiết) hoặc lỗi thời (không sử dụng).
- Lập kế hoạch và thực hiện các chiến lược và yêu cầu bảo mật chung với các nhà cung cấp phần mềm của bạn, để giảm thiểu rủi ro CNTT từ họ và các quy trình bảo mật của riêng bạn.
- Chạy kiểm tra mã thường xuyên. Và giữ cho các đánh giá bảo mật cập nhật và các thủ tục kiểm soát thay đổi, bắt buộc đối với từng thành phần của mã được tạo hoặc sử dụng.
- Thực hiện các bài kiểm tra thâm nhập định kỳ để xác định các mối nguy tiềm ẩn trên nền tảng máy tính của bạn.
- Thực hiện các biện pháp bảo mật CNTT như kiểm soát truy cập và xác thực yếu tố kép (2FA) để bảo vệ các quy trình phát triển phần mềm.
- Chạy phần mềm bảo mật với nhiều lớp bảo vệ. Đặc biệt là chống lại sự xâm nhập, vi rút và rasomware, rất phổ biến ngày nay.
- Luôn cập nhật kế hoạch dự phòng hoặc kế hoạch dự phòng của bạn, để duy trì an toàn dữ liệu quan trọng của các ứng dụng, hệ thống và hoạt động (quy trình) của bạn và có thể khôi phục bất kỳ dữ liệu nào trong số đó trong thời gian ngắn nhất có thể.
Thông tin thêm về cửa hàng bán lẻ
Cuối cùng, các nhà phát triển của "Sigstore" họ giải thích một chút hoạt động của dự án này theo cách sau:
"cửa hàng bán lẻ tận dụng các công nghệ PKI x509 hiện có và đăng ký tính minh bạch. Người dùng tạo các cặp khóa ngắn hạn tạm thời bằng cách sử dụng các công cụ khách hàng sigstore. Sau đó, dịch vụ PKI sigstore sẽ cung cấp chứng chỉ ký được tạo sau khi cấp kết nối OpenID thành công. Tất cả các chứng chỉ được ghi lại trong sổ đăng ký tính minh bạch của chứng chỉ và tài liệu ký phần mềm được nộp cho cơ quan đăng ký tính minh bạch của chữ ký."
"Sử dụng hồ sơ minh bạch giới thiệu nguồn gốc tin cậy trong tài khoản OpenID của người dùng. Do đó, chúng tôi có thể đảm bảo rằng người dùng được xác nhận quyền kiểm soát tài khoản của nhà cung cấp dịch vụ nhận dạng tại thời điểm ký. Khi thao tác ký hoàn tất, các khóa có thể được hủy bỏ, loại bỏ mọi nhu cầu quản lý khóa bổ sung hoặc nhu cầu thu hồi hoặc luân chuyển."
Để biết thêm thông tin về "Sigstore" bạn có thể ghé thăm của bạn trang web chính thức trên GitHub và Cộng đồng (Nhóm) công khai trên Google.
tóm lại
Chúng tôi hy vọng điều này "bài viết nhỏ hữu ích" trên «Sigstore», một dự án thú vị và hữu ích của Nền tảng Linuxđó là một dịch vụ minh bạch và chữ ký phần mềm lợi ích công cộng và phi lợi nhuận, được tạo ra cho cải thiện chuỗi cung ứng phần mềm mã nguồn mở; rất quan tâm và tiện ích, cho toàn bộ «Comunidad de Software Libre y Código Abierto» và đóng góp to lớn vào việc truyền bá hệ sinh thái tuyệt vời, khổng lồ và đang phát triển của các ứng dụng «GNU/Linux».
Hiện tại, nếu bạn thích điều này publicación, Đừng dừng lại chia sẻ nó với những người khác, trên các trang web, kênh, nhóm hoặc cộng đồng mạng xã hội hoặc hệ thống nhắn tin yêu thích của bạn, tốt nhất là miễn phí, mở và / hoặc an toàn hơn như Telegram, Tín hiệu, Loại voi lớn đa tuyệt chủng hoặc cái khác trong số Fediverse, tốt nhất là.
Và nhớ ghé thăm trang chủ của chúng tôi tại «DesdeLinux» để khám phá thêm tin tức, cũng như tham gia kênh chính thức của chúng tôi về Điện tín của DesdeLinux. Trong khi, để biết thêm thông tin, bạn có thể truy cập bất kỳ Thư viện trực tuyến như OpenLibra y jedit, để truy cập và đọc sách kỹ thuật số (PDF) về chủ đề này hoặc chủ đề khác.