今天,我们将谈论 “信号商店”. 众多之一, 免费和开放的项目 在老师的指导下 Linux基金会.
“信号商店” 它基本上是一个旨在提供公益性、非营利性服务的项目 改善供应链 de 开源软件 促进采用透明注册技术支持的软件加密签名。
“信号商店”,不是唯一的 Linux 基金会项目 我们在以前的场合已经讨论过。 其中另一个已经 汽车级 Linux,我们当时的描述如下:
“汽车级(质量)Linux 是一个开源协作项目,它将汽车制造商、供应商和技术公司聚集在一起,以加速为未来汽车开发和采用完全开放的软件堆栈。 以 Linux 为核心,AGL 正在从头开始开发一个开放平台,可以作为事实上的行业标准,以支持新功能和技术的快速开发。= Linux Foundation:出席2020年消费电子展
稍后,在未来的出版物中,我们将讨论其他项目,但对于那些希望自己探索其中一些项目的人,他们可以通过以下链接进行: Linux 基金会项目.
Sigstore:Linux 基金会的一个项目
什么是 Sigstore?
据他自己 Sigstore官网,同样是:
“该项目旨在提供非营利性公益服务,通过促进采用软件加密签名来改善开源软件供应链,并由透明注册技术提供支持。 此外,它还尝试培训软件开发人员安全地签署软件工件,例如发布文件、容器映像、二进制文件、物料清单清单等。=
此外,该项目旨在确保:
“签名的材料存储在防篡改的公共记录中。=
为什么 Sigstore 很重要?
该项目及其工具和成员力求避免 «对软件供应链的攻击 »,例如,发生了什么 SolarWinds的 和其他最近众所周知的。
“微软表示,黑客入侵了 SolarWinds 的 Orion 监控和管理软件,允许他们冒充组织中的任何现有用户和帐户,包括高特权帐户。 据说俄罗斯已经利用供应链的各个层面来访问政府机构系统。=
被理解 «攻击软件供应链 » 采取的行动, 黑客将恶意代码插入到合法软件中以将其传播到任何地方。
因此,免费且易于实施的免费/开放项目,例如 “信号商店” 它们在我们这个时代变得越来越必要。
如何防范对软件供应链的攻击?
尽管在其他情况下,我们提供了一些有用的信息安全建议,适用于每个人,在任何时间或情况下都适用,但以下提示直接侧重于尽可能地减轻此类攻击:
- 维护所有使用的自有和第三方软件工具的清单,包括免费和开放的、专有的和封闭的。
- 注意所有使用的应用程序和系统的已知和未来漏洞,尽快应用正式可用的补丁。
- 随时向自己和第三方软件提供商了解检测到的漏洞或进行的攻击,以避免以这些方式出现意外。
- 在尽可能短的时间内消除那些可能冗余(不必要)或过时(未使用)的系统、服务和协议。
- 与您的软件供应商一起规划和实施联合战略和安全要求,以最大限度地降低来自他们和您自己的安全流程的 IT 风险。
- 运行定期代码审计。 并保持更新的安全审查和变更控制程序,这是创建或使用的代码的每个组件所必需的。
- 执行例行渗透测试以识别计算平台上的潜在危害。
- 实施 IT 安全措施,例如访问控制和双因素身份验证 (2FA),以保护软件开发流程。
- 运行具有多层保护的安全软件。 尤其是针对入侵、病毒和勒索软件,这在当今非常普遍。
- 及时更新您的备份或应急计划,以便 安全地维护您的应用程序、系统和活动(流程)的重要数据,并能够在尽可能短的时间内恢复其中的任何数据。
更多关于 登录
最后,开发商 “信号商店” 他们通过以下方式稍微解释了这个项目的运作:
“登录 利用现有的 x509 PKI 技术和透明度注册表。 用户使用 sigstore 客户端工具生成短期的临时密钥对。 然后,sigstore PKI 服务将提供在成功获得 OpenID 连接授权后生成的签名证书。 所有证书都记录在证书透明度注册表中,软件签名材料提交到签名透明度注册表。=
“使用透明记录会在用户的 OpenID 帐户中引入信任根。 因此,我们可以保证声明的用户在签名时控制着身份服务提供商的帐户。 签名操作完成后,可以丢弃密钥,从而无需额外的密钥管理或撤销或轮换。=
第másinformaciónsobre “信号商店” 你可以访问你的 GitHub上的官方网站 和 社区(组)公开 上 谷歌.
总结
我们希望这个 “有用的小贴子= 上 «Sigstore»
, 一个有趣且有用的项目 Linux基金会,这是一个 透明服务和软件签名 公益性和非营利性,为 改善供应链 开源软件; 具有极大的兴趣和实用性,对于整个 «Comunidad de Software Libre y Código Abierto»
并极大地促进了应用程序的精彩,庞大和不断发展的生态系统的传播 «GNU/Linux»
.
现在,如果你喜欢这个 publicación
, 不要停 分享 与其他人一起,在您喜欢的网站,频道,社交网络或消息传递系统的组或社区上使用,优选免费,开放和/或更加安全 Telegram, 信号, 乳齿象 或另一个 兽人,最好。
并记住访问我们的主页,网址为 «DesdeLinux» 探索更多新闻,以及加入我们的官方频道 电报 DesdeLinux. 同时,有关更多信息,您可以访问 在线图书馆 如 OpenLibra y 杰迪, 访问和阅读有关此主题或其他主题的数字书籍(PDF)。