Fundacija Linux predstavlja novo sigstore projekt za boljšo varnost in zaščito vseh vidikov dobavne verige programske opreme. Novi projekt bo razvijalcem omogočil, da podpišejo določene vidike svojega razvojnega procesa, s čimer bodo zagotovili, da bodo datoteke in druga sredstva imela močno šifriranje, zaščiteno pred posegi.
sigstore za zaščito izvorov programske opreme
Fundacija Linux sigstore je brezplačna, neprofitna storitev podpisovanja javno dobre programske opreme, ki bo uporabila obstoječo ključno tehnologijo za boljšo zaščito dobavnih verig za razvoj programske opreme.
Uporabil bo tudi tehnologije preglednega beleženja, da bo lažje izsledil "izvor, celovitost in odkritost "v dobavni verigi programske opreme, kar olajša zaupanje lastnikov projektov in sodelujočih spremljanje sprememb.
Skratka, sigstore bi lahko razvijalcem programske opreme omogočil enostavnejšo uporabo in brezplačno možnost zaščite pomembnih datotek, povezanih s projektom. Razvijalci lahko s storitvijo sigstore podpišejo datoteke za izdajo, binarne datoteke, manifesta, dokumente, dnevnike in drugo.
Po podpisu se podrobnosti dodajo v "javni dnevnik, odporen proti nedovoljenim posegom", znan kot rekor, ki ga je razvila tudi fundacija Linux.
Uporabniki so dovzetni za različne ciljne napade, skupaj z ogrožanjem računa in kriptografskih ključev. Zlasti ključi so izziv za vzdrževalce programske opreme. Projekti morajo pogosto voditi seznam trenutno uporabljenih ključev in upravljati ključe posameznikov, ki ne prispevajo več k projektu.
Santiago Torres-Arias, docent za elektrotehniko in računalništvo, Univerza v Purdueju, je "zelo navdušen nad možnostmi sistema, kot je sigstore."
Kaj takega programski ekosistem zelo potrebuje, da bi poročal o stanju dobavne verige. Predvidevam, da lahko Sigstore z odgovori na vsa vprašanja o virih programske opreme in lastništvu začnemo postavljati vprašanja v zvezi s tem namembni kraji programske opreme, potrošniki, skladnost (pravna in drugačna) za prepoznavanje kriminalnih mrež in zaščito kritične programske infrastrukture
Sorodno: Kako hitro in brezplačno namestiti SSL na svojo spletno stran s programom Let's Encrypt
Zaščita ranljivih razvijalcev programske opreme
Projekt Sigstore Linux Foundation opozarja na ranljivo področje za razvijalce programske opreme. Trenutno zelo malo projektov aktivno podpisuje artefakte programske opreme. To je dolgotrajno, zahteva dodatno upravljanje in čas je pogosto bolje porabiti drugje - to je bolj kot zapletanje s kompleksnimi ključnimi mehanizmi upravljanja.
Sorodno: Miti o HTTPS in SSL certifikatih, ki jim ne bi smeli verjeti
Trenutno se mnogi razvijalci odločijo za najlažjo možno možnost, pri čemer kritične šifrirne ključe skrivajo v datotekah readme ali na drugih ranljivih mestih. Uporaba potencialno lahko dostopnih datotek, ki nimajo zaščite, je recept za katastrofo, kot je razvidno iz različnih kršitev GitHub in Bitbucket v preteklih letih.
sigstore naj bi potem vsaj nekoliko olajšal upravljanje šifrirnih ključev za programe programske opreme, s čimer bi razvijalcem omogočil nadaljevanje dela, ki ga dejansko uživajo.
Google označuje spletna mesta kot "varna", če ne uporabljajo protokola HTTPS. Ne želite izgubiti prometa na svojem spletnem mestu? Nastavite SSL še danes!
- Linux
- Tehnične novice
- Šifriranje
- Razvoj iger
Gavin je mlajši urednik za Windows in razloženo tehnologijo, redni sodelavec za zelo uporaben podcast in je bil urednik za sestrsko spletno stran MakeUseOf, Blocks Decoded. Ima BA (odlikovanje) za sodobno pisanje z digitalnimi umetniškimi praksami, razvitim s hribov Devona, in več kot desetletje poklicnih izkušenj s pisanjem. Uživa obilno količino čaja, družabne igre in nogomet.
Naročite se na naše novice
Pridružite se našemu glasilu za tehnične nasvete, preglede, brezplačne e-knjige in ekskluzivne ponudbe!
Še en korak…!
Potrdite svoj e-poštni naslov v e-poštnem sporočilu, ki smo vam ga pravkar poslali.
