Sigstore:改善开源供应链的项目

Sigstore:改善开源供应链的项目

Sigstore:改善开源供应链的项目

今天,我们将谈论 “信号商店”. 众多之一, 免费和开放的项目 在老师的指导下 Linux基金会.

“信号商店” 它基本上是一个旨在提供公益性、非营利性服务的项目 改善供应链 de 开源软件 促进采用透明注册技术支持的软件加密签名。

汽车级Linux

“信号商店”,不是唯一的 Linux 基金会项目 我们在以前的场合已经讨论过。 其中另一个已经 汽车级 Linux,我们当时的描述如下:

汽车级(质量)Linux 是一个开源协作项目,它将汽车制造商、供应商和技术公司聚集在一起,以加速为未来汽车开发和采用完全开放的软件堆栈。 以 Linux 为核心,AGL 正在从头开始开发一个开放平台,可以作为事实上的行业标准,以支持新功能和技术的快速开发。= Linux Foundation:出席2020年消费电子展

Linux Foundation:出席2020年消费电子展
相关文章:
Linux Foundation:出席2020年消费电子展
汽车级Linux
相关文章:
借助汽车级Linux,Linux上路了

稍后,在未来的出版物中,我们将讨论其他项目,但对于那些希望自己探索其中一些项目的人,他们可以通过以下链接进行: Linux 基金会项目.

Sigstore:Linux 基金会的一个项目

Sigstore:Linux 基金会的一个项目

什么是 Sigstore?

据他自己 Sigstore官网,同样是:

该项目旨在提供非营利性公益服务,通过促进采用软件加密签名来改善开源软件供应链,并由透明注册技术提供支持。 此外,它还尝试培训软件开发人员安全地签署软件工件,例如发布文件、容器映像、二进制文件、物料清单清单等。=

此外,该项目旨在确保:

签名的材料存储在防篡改的公共记录中。=

为什么 Sigstore 很重要?

该项目及其工具和成员力求避免 «对软件供应链的攻击 »,例如,发生了什么 SolarWinds的 和其他最近众所周知的。

微软表示,黑客入侵了 SolarWinds 的 Orion 监控和管理软件,允许他们冒充组织中的任何现有用户和帐户,包括高特权帐户。 据说俄罗斯已经利用供应链的各个层面来访问政府机构系统。=

相关文章:
SolarWinds骇客可能比预期的要糟糕得多

被理解 «攻击软件供应链 » 采取的行动, 黑客将恶意代码插入到合法软件中以将其传播到任何地方。

因此,免费且易于实施的免费/开放项目,例如 “信号商店” 它们在我们这个时代变得越来越必要。

如何防范对软件供应链的攻击?

尽管在其他情况下,我们提供了一些有用的信息安全建议,适用于每个人,在任何时间或情况下都适用,但以下提示直接侧重于尽可能地减轻此类攻击:

随时随地为每个人提供的IT安全提示
相关文章:
随时随地为每个人提供的计算机安全提示
  1. 维护所有使用的自有和第三方软件工具的清单,包括免费和开放的、专有的和封闭的。
  2. 注意所有使用的应用程序和系统的已知和未来漏洞,尽快应用正式可用的补丁。
  3. 随时向自己和第三方软件提供商了解检测到的漏洞或进行的攻击,以避免以这些方式出现意外。
  4. 在尽可能短的时间内消除那些可能冗余(不必要)或过时(未使用)的系统、服务和协议。
  5. 与您的软件供应商一起规划和实施联合战略和安全要求,以最大限度地降低来自他们和您自己的安全流程的 IT 风险。
  6. 运行定期代码审计。 并保持更新的安全审查和变更控制程序,这是创建或使用的代码的每个组件所必需的。
  7. 执行例行渗透测试以识别计算平台上的潜在危害。
  8. 实施 IT 安全措施,例如访问控制和双因素身份验证 (2FA),以保护软件开发流程。
  9. 运行具有多层保护的安全软件。 尤其是针对入侵、病毒和勒索软件,这在当今非常普遍。
  10. 及时更新您的备份或应急计划,以便 安全地维护您的应用程序、系统和活动(流程)的重要数据,并能够在尽可能短的时间内恢复其中的任何数据。

关于 Sigstore 的更多信息

更多关于 登录

最后,开发商 “信号商店” 他们通过以下方式稍微解释了这个项目的运作:

登录 利用现有的 x509 PKI 技术和透明度注册表。 用户使用 sigstore 客户端工具生成短期的临时密钥对。 然后,sigstore PKI 服务将提供在成功获得 OpenID 连接授权后生成的签名证书。 所有证书都记录在证书透明度注册表中,软件签名材料提交到签名透明度注册表。=

关于 Sigstore 的更多信息

使用透明记录会在用户的 OpenID 帐户中引入信任根。 因此,我们可以保证声明的用户在签名时控制着身份服务提供商的帐户。 签名操作完成后,可以丢弃密钥,从而无需额外的密钥管理或撤销或轮换。=

第másinformaciónsobre “信号商店” 你可以访问你的 GitHub上的官方网站社区(组)公开谷歌.

摘要:各种出版物

总结

我们希望这个 有用的小贴子= 上  «Sigstore», 一个有趣且有用的项目 Linux基金会,这是一个 透明服务和软件签名 公益性和非营利性,为 改善供应链 开源软件; 具有极大的兴趣和实用性,对于整个 «Comunidad de Software Libre y Código Abierto» 并极大地促进了应用程序的精彩,庞大和不断发展的生态系统的传播 «GNU/Linux».

现在,如果你喜欢这个 publicación, 不要停 分享 与其他人一起,在您喜欢的网站,频道,社交网络或消息传递系统的组或社区上使用,优选免费,开放和/或更加安全 Telegram信号乳齿象 或另一个 兽人,最好。

并记住访问我们的主页,网址为 «DesdeLinux» 探索更多新闻,以及加入我们的官方频道 电报 DesdeLinux同时,有关更多信息,您可以访问 在线图书馆 如 OpenLibra y 杰迪, 访问和阅读有关此主题或其他主题的数字书籍(PDF)。


成为第一个发表评论

发表您的评论

您的电子邮件地址将不会被发表。 必填字段标有 *

*

*

  1. 负责数据:MiguelÁngelGatón
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。