Sigstore：改善開源供應鏈的項目

今天，我們將談論 “信號商店”. 眾多之一， 免費和開放的項目 在老師的指導下 Linux基金會.

“信號商店” 它基本上是一個旨在提供公益性、非營利性服務的項目 改善供應鏈 de 開源軟件 促進採用透明註冊技術支持的軟件加密簽名。

“信號商店”，不是唯一的 Linux 基金會項目 我們在以前的場合已經討論過。 其中另一個已經 汽車級 Linux，我們當時的描述如下：

“汽車級（質量）Linux 是一個開源協作項目，它將汽車製造商、供應商和技術公司聚集在一起，以加快未來汽車完全開放軟件堆棧的開發和採用。 以 Linux 為核心，AGL 正在從頭開始開發一個開放平台，可以作為事實上的行業標準，以支持新功能和技術的快速開發。“ Linux Foundation：出席2020年消費電子展

相關文章：

Linux Foundation：出席2020年消費電子展

相關文章：

借助汽車級Linux，Linux上路了

稍後，在未來的出版物中，我們將討論其他項目，但對於那些希望自己探索其中一些項目的人，他們可以通過以下鏈接進行： Linux 基金會項目.

Sigstore：Linux 基金會的一個項目

什麼是 Sigstore？

據他自己 Sigstore官網，同樣是：

“該項目旨在提供非營利性公益服務，通過促進採用軟件加密簽名來改善開源軟件供應鏈，並由透明註冊技術提供支持。 此外，它還試圖培訓軟件開發人員安全地簽署軟件工件，例如發布文件、容器映像、二進製文件、物料清單清單等。“

此外，該項目旨在確保：

“簽名的材料存儲在防篡改的公共記錄中。“

為什麼 Sigstore 很重要？

該項目及其工具和成員力求避免 «對軟件供應鏈的攻擊 »，例如，發生了什麼 太陽風 和其他最近眾所周知的。

“微軟表示，黑客入侵了 SolarWinds 的 Orion 監控和管理軟件，允許他們冒充組織中的任何現有用戶和帳戶，包括高特權帳戶。 據說俄羅斯已經利用供應鏈的各個層面來訪問政府機構系統。“

相關文章：

SolarWinds駭客可能比預期的要糟糕得多

被理解 «攻擊軟件供應鏈 » 採取的行動， 黑客將惡意代碼插入合法軟件中以將其傳播到任何地方。

因此，免費且易於實施的免費/開放項目，例如 “信號商店” 在我們這個時代，它們越來越必要。

如何防範對軟件供應鏈的攻擊？

儘管在其他情況下，我們提供了一些有用的信息安全建議，適用於每個人，在任何時間或情況下都適用，但以下提示直接側重於盡可能地減輕此類攻擊：

相關文章：

隨時隨地為每個人提供的計算機安全提示

1. 維護所有使用的自有和第三方軟件工具的清單，包括免費和開放的、專有的和封閉的。
2. 注意所有使用的應用程序和系統的已知和未來漏洞，盡快應用正式可用的補丁。
3. 隨時了解檢測到的違規行為或對自己和第三方軟件提供商進行的攻擊，以避免以這些方式出現意外。
4. 在盡可能短的時間內消除那些可能冗餘（不必要）或過時（未使用）的系統、服務和協議。
5. 與您的軟件供應商一起規劃和實施聯合戰略和安全要求，以最大限度地降低來自他們和您自己的安全流程的 IT 風險。
6. 運行定期代碼審計。 並保持更新的安全審查和變更控製程序，這是創建或使用的代碼的每個組件所必需的。
7. 執行例行滲透測試以識別計算平台上的潛在危害。
8. 實施 IT 安全措施，例如訪問控制和雙因素身份驗證 (2FA)，以保護軟件開發流程。
9. 運行具有多層保護的安全軟件。 尤其是針對入侵、病毒和勒索軟件，這在當今非常普遍。
10. 保持備份或應急計劃是最新的，以便 安全地維護您的應用程序、系統和活動（流程）的重要數據，並能夠在盡可能短的時間內恢復其中的任何數據。
    

更多關於 登錄

最後，開發商 “信號商店” 他們通過以下方式解釋了這個項目的運作：

“登錄 利用現有的 x509 PKI 技術和透明度註冊表。 用戶使用 sigstore 客戶端工俱生成短期的臨時密鑰對。 然後，sigstore PKI 服務將提供在成功獲得 OpenID 連接授權後生成的簽名證書。 所有證書都記錄在證書透明度註冊表中，軟件簽名材料提交到簽名透明度註冊表。“

“使用透明記錄會在用戶的 OpenID 帳戶中引入信任根。 因此，我們可以保證聲明的用戶在簽名時控制著身份服務提供商的帳戶。 簽名操作完成後，可以丟棄密鑰，從而無需額外的密鑰管理或撤銷或輪換。“

有關更多信息 “信號商店” 你可以訪問你的 GitHub上的官方網站 和 社區（組）公開 上 谷歌.

總結

我們希望這個 “有用的小貼子“ 上  «Sigstore», 一個有趣且有用的項目 Linux基金會這是一個 透明服務和軟件簽名 公益性和非營利性，為 改善供應鏈 開源軟件; 具有極大的興趣和實用性，對於整個 «Comunidad de Software Libre y Código Abierto» 並極大地促進了應用程序的精彩，龐大和不斷發展的生態系統的傳播 «GNU/Linux».

現在，如果你喜歡這個 publicación， 不要停 分享 與他人一起，在您喜歡的網站，頻道，社交網絡或消息傳遞系統的組或社區上，最好是免費的，開放的和/或更安全的 Telegram, Signal, 乳齒象 或另一個 獸人，最好。

並記住訪問我們的主頁，網址為 «DesdeLinux» 探索更多新聞，以及加入我們的官方頻道 電報 DesdeLinux. 同時，有關更多信息，您可以訪問 在線圖書館 如 OpenLibra y 傑迪, 訪問和閱讀有關此主題或其他主題的數字書籍（PDF）。