Linux Foundation uruchamia sigstore, nową usługę podpisywania oprogramowania

Linux Foundation uruchamia swój nowy plik sigstore projekt mający na celu zapewnienie lepszego bezpieczeństwa i ochrony wszystkich aspektów łańcucha dostaw oprogramowania. Nowy projekt umożliwi programistom podpisywanie określonych aspektów ich procesu tworzenia, zapewniając, że pliki i inne zasoby mają silne, odporne na manipulacje szyfrowanie.

sigstore, aby chronić pochodzenie oprogramowania

Linux Foundation's sigstore to bezpłatna, niekomercyjna usługa podpisywania publicznego oprogramowania, która będzie wykorzystywać istniejącą kluczową technologię do lepszej ochrony łańcuchów dostaw tworzenia oprogramowania.

Będzie również wykorzystywać przejrzyste technologie rejestrowania, aby ułatwić śledzenie „pochodzenia, integralności i wykrywalność ”łańcucha dostaw oprogramowania, ułatwiając właścicielom projektów i współautorom zaufanie i monitorować zmiany.

Krótko mówiąc, sigstore może zapewnić programistom łatwiejszą w użyciu i bezpłatną opcję ochrony ważnych plików powiązanych z projektem. Programiści mogą używać sigstore do podpisywania plików wersji, plików binarnych, manifestów, dokumentów, dzienników i nie tylko.

Po podpisaniu szczegóły są dodawane do „odpornego na manipulacje dziennika publicznego” znanego jako rekor, które również opracowała Linux Foundation.

Użytkownicy są podatni na różne ataki ukierunkowane, a także na włamania na konto i klucz kryptograficzny. W szczególności klucze stanowią wyzwanie dla opiekunów oprogramowania. Projekty często muszą utrzymywać listę aktualnie używanych kluczy i zarządzać kluczami osób, które już nie współtworzą projektu.

Santiago Torres-Arias, profesor nadzwyczajny inżynierii elektrycznej i komputerowej na Uniwersytecie Purdue, jest „bardzo podekscytowany perspektywami systemu takiego jak sigstore”.

Ekosystem oprogramowania pilnie potrzebuje czegoś podobnego do raportowania stanu łańcucha dostaw. Wyobrażam sobie, że mając sigstore odpowiadający na wszystkie pytania dotyczące źródeł oprogramowania i własności, możemy zacząć zadawać pytania dotyczące miejsca docelowe oprogramowania, konsumenci, zgodność (prawna i nie tylko) w celu identyfikacji sieci przestępczych i zabezpieczenia krytycznej infrastruktury oprogramowania

Związane z: Jak szybko i za darmo skonfigurować SSL w swojej witrynie dzięki Let's Encrypt

Ochrona wrażliwych twórców oprogramowania

Projekt sigstore Linux Foundation zwraca uwagę na wrażliwy obszar dla programistów. Obecnie bardzo niewiele projektów aktywnie podpisuje artefakty oprogramowania. Jest to czasochłonne, wymaga dodatkowego zarządzania, a czas często lepiej spędzać gdzie indziej - zamiast zajmować się złożonymi mechanizmami zarządzania kluczami.

Związane z: Mity o certyfikatach HTTPS i SSL, w które nie powinieneś wierzyć

Obecnie wielu programistów wybiera najłatwiejszą możliwą opcję, ukrywając krytyczne klucze szyfrowania w plikach readme lub innych wrażliwych miejscach. Korzystanie z potencjalnie łatwo dostępnych plików, które nie są chronione, jest receptą na katastrofę, co widać w przypadku różnych naruszeń GitHub i Bitbucket na przestrzeni lat.

sigstore powinien więc przynajmniej nieco ułatwić zarządzanie kluczami szyfrującymi w projektach oprogramowania, pozwalając programistom na kontynuowanie pracy, którą faktycznie lubią.

Jak skonfigurować protokół HTTPS w witrynie: prosty przewodnik

Google oznacza witryny jako „niezabezpieczone”, jeśli nie używają protokołu HTTPS. Nie chcesz tracić ruchu do swojej witryny? Skonfiguruj SSL już dziś!

O autorze