„Linux Foundation“ pristato savo naująjį sigstore siekiant užtikrinti geresnį visų programinės įrangos tiekimo grandinės aspektų saugumą ir apsaugą. Naujas projektas leis kūrėjams pasirašyti konkrečius savo kūrimo proceso aspektus, užtikrinant, kad failai ir kitas turtas būtų patikimai apsaugoti nuo klastojimo.
sigstore apsaugoti programinės įrangos kilmę
„Linux Foundation“ sigstore yra nemokama, ne pelno siekianti viešoji geros programinės įrangos pasirašymo paslauga, kuri naudos esamą pagrindinę technologiją, kad geriau apsaugotų programinės įrangos kūrimo tiekimo grandines.
Taip pat bus naudojamos skaidrios medienos ruošos technologijos, kad būtų lengviau atsekti "kilmę, vientisumą ir programinės įrangos tiekimo grandinės aptinkamumas, palengvinantis pasitikėjimą projekto savininkais ir bendraautoriais stebėti pokyčius.
Trumpai tariant, „sigstore“ galėtų suteikti programinės įrangos kūrėjams patogesnę ir nemokamą galimybę apsaugoti svarbius su projektu susijusius failus. Kūrėjai gali naudoti „sigstore“, norėdami pasirašyti išleidimo failus, dvejetainius failus, manifestus, dokumentus, žurnalus ir dar daugiau.
Pasirašius, informacija yra įtraukiama į „viešąjį žurnalą“, kuris apsaugotas nuo klastojimo rekor, kurį sukūrė ir „Linux Foundation“.
Vartotojai yra jautrūs įvairioms tikslinėms atakoms, taip pat kompromisams dėl paskyros ir kriptografinio rakto. Visų pirma raktai yra iššūkis programinės įrangos prižiūrėtojams. Projektai dažnai turi tvarkyti esamų naudojamų raktų sąrašą ir valdyti asmenų, kurie nebeprisideda prie projekto, raktus.
Santiago Torresas-Ariasas, Purdue universiteto elektros ir kompiuterių inžinerijos docentas, „labai džiaugiasi tokios sistemos kaip„ sigstore “perspektyvomis“.
Programinės įrangos ekosistemai labai reikia panašaus pranešti apie tiekimo grandinės būklę. Įsivaizduoju, kad kai „sigstore“ atsakys į visus klausimus apie programinės įrangos šaltinius ir nuosavybę, galime pradėti užduoti klausimus programinės įrangos paskirties vietos, vartotojai, atitiktis (teisėta ir kita), siekiant nustatyti nusikalstamus tinklus ir apsaugoti svarbiausią programinės įrangos infrastruktūrą
Susijęs: Kaip greitai ir nemokamai sukonfigūruoti SSL savo svetainėje, naudokime šifravimą
Pažeidžiamų programinės įrangos kūrėjų apsauga
„Linux Foundation“ „sigstore“ projektas atkreipia dėmesį į pažeidžiamą programinės įrangos kūrėjų sritį. Šiuo metu labai nedaug projektų aktyviai pasirašo programinės įrangos artefaktus. Tai užima daug laiko, reikalauja papildomo valdymo ir laiką dažnai geriau praleisti kitur, o ne spręsti sudėtingus raktų valdymo mechanizmus.
Susijęs: Mitai apie HTTPS ir SSL sertifikatus, kuriais neturėtumėte tikėti
Šiuo metu daugelis kūrėjų pasirenka lengviausią įmanomą variantą, slėpdami kritinius šifravimo raktus „readme“ failuose ar kitose pažeidžiamose vietose. Naudoti potencialiai lengvai pasiekiamus failus, kuriems trūksta apsaugos, yra katastrofos receptas, kaip matyti iš įvairių „GitHub“ ir „Bitbucket“ pažeidimų per metus.
Taigi, „sigstore“ turėtų bent šiek tiek palengvinti programinės įrangos projektų šifravimo raktų valdymą, išlaisvindami kūrėjus nuo darbų, kurie jiems iš tikrųjų patinka.
„Google“ žymi svetaines kaip „nesaugias“, jei jose nenaudojama HTTPS. Nenorite prarasti srauto į savo svetainę? Nustatykite SSL šiandien!
- „Linux“
- „Tech News“
- Šifravimas
- Žaidimų kūrimas
Gavinas yra „Windows“ ir „Technology Explained“ jaunesnysis redaktorius, nuolatinis „Really Useful Podcast“ bendradarbis. Jis buvo „MakeUseOf“ į šifravimą orientuotos sesers svetainės „Blocks Decoded“ redaktorius. Jis turi šiuolaikinio BA („Hons“) rašymą su skaitmeninio meno praktikomis, apiplėštomis nuo Devono kalvų, taip pat daugiau nei dešimtmetį profesionalios rašymo patirties. Jis mėgaujasi gausiu kiekiu arbatos, stalo žaidimų ir futbolo.
Prenumeruokite mūsų naujienlaiškį
Prisijunkite prie mūsų naujienlaiškio, kuriame rasite techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!
Dar vienas žingsnis…!
Prašome patvirtinti savo el. Pašto adresą el. Laiške, kurį jums ką tik išsiuntėme.
