A Linux Alapítvány elindítja a sigstore-t, egy új szoftver-aláíró szolgáltatást

A Linux Alapítvány elindítja újját sigstore projektet, amely jobb biztonságot és védelmet nyújt a szoftver-ellátási lánc minden aspektusához. Az új projekt lehetővé teszi a fejlesztők számára, hogy aláírják fejlesztési folyamatuk bizonyos aspektusait, biztosítva, hogy a fájlok és egyéb eszközök erős, szabotázsbiztos titkosítást kapjanak.

sigstore a szoftver eredetének védelme érdekében

A Linux Alapítványé sigstore egy ingyenesen használható, nonprofit közcélú jó szoftver-aláíró szolgáltatás, amely a meglévő kulcsfontosságú technológiát használja a szoftverfejlesztési ellátási láncok jobb védelme érdekében.

Átlátható naplózási technológiákat is használ, hogy megkönnyítse az "eredet, integritás és a szoftver-ellátási lánc felfedezhetősége ", megkönnyítve mind a projektgazdák, mind a közreműködők bizalmát és figyelemmel kíséri a változásokat.

Röviden, a sigstore könnyebben használható és ingyenes lehetőséget nyújthat a szoftverfejlesztőknek a projekthez kapcsolódó fontos fájlok védelmére. A fejlesztők a sigstore segítségével aláírhatják a kiadási fájlokat, bináris fájlokat, jegyzékeket, dokumentumokat, naplókat és még sok mást.

Aláírás után a részleteket hozzáadjuk egy "manipulációval szemben ellenálló nyilvános naplóhoz" rekor, amelyet a Linux Alapítvány is kifejlesztett.

A felhasználók hajlamosak különféle célzott támadásokra, valamint a fiók- és kriptográfiai kulcsok kompromisszumára. Különösen a kulcsok jelentenek kihívást a szoftverfenntartók számára. A projekteknek gyakran meg kell vezetniük az aktuálisan használt kulcsok listáját, és kezelniük kell azoknak a kulcsoknak a kulcsait, akik már nem járulnak hozzá a projektekhez.

Santiago Torres-Arias, a Purdue Egyetem villamos- és számítástechnikai adjunktusa "nagyon izgatott egy olyan rendszer kilátásai miatt, mint a sigstore".

A szoftver ökoszisztémának nagy szüksége van ilyesmire, hogy jelentse az ellátási lánc állapotát. Úgy képzelem, hogy azzal, hogy a sigstore megválaszolja a szoftverforrásokkal és a tulajdonjoggal kapcsolatos összes kérdést, elkezdhetjük feltenni a kérdéseket szoftvercélok, fogyasztók, megfelelőség (jogi és egyéb), a bűnözői hálózatok azonosítása és a kritikus szoftverinfrastruktúra biztosítása

Összefüggő: Az SSL gyors telepítése a webhelyen titkosítással

A sebezhető szoftverfejlesztők védelme

A Linux Alapítvány sigstore projektje a szoftverfejlesztők számára kiszolgáltatott területre hívja fel a figyelmet. Jelenleg nagyon kevés projekt írja alá aktívan a szoftvertermékeket. Ez időigényes, extra menedzsmentet igényel, és az időt gyakran jobban tölti máshol - ez ahelyett, hogy összetett kulcskezelési mechanizmusokkal foglalkozna.

Összefüggő: A mítoszok a HTTPS-ről és az SSL-tanúsítványokról, amelyekben nem szabad hinni

Jelenleg sok fejlesztő a lehető legegyszerűbb lehetőséget választja, a kritikus titkosítási kulcsokat elrejti a readme fájlokban vagy más sérülékeny helyeken. A potenciálisan könnyen hozzáférhető, védelem nélküli fájlok használata a katasztrófa receptje, amint az a GitHub és a Bitbucket különböző megsértéseiben tapasztalható az évek során.

A sigstore-nak tehát legalább egy kicsit megkönnyítenie kell a szoftverprojektek titkosítási kulcsainak kezelését, felszabadítva a fejlesztőket, hogy folytassák a ténylegesen élvezett munkát.

A HTTPS beállítása a webhelyen: Egyszerű útmutató

A Google "nem biztonságosként" jelöli a webhelyeket, ha nem használnak HTTPS-t. Nem akarja elveszíteni a webhelye forgalmát? Állítsa be még ma az SSL-t!

A szerzőről