Фондацията Linux стартира sigstore, нова услуга за подписване на софтуер

Фондацията Linux пуска своята нова sigstore проект за осигуряване на по-добра сигурност и защита за всички аспекти на веригата за доставки на софтуер. Новият проект ще позволи на разработчиците да подпишат специфични аспекти на процеса на разработка, като гарантират, че файловете и други активи носят сигурно, защитено от фалшифициране криптиране.

sigstore за защита на произхода на софтуера

Фондацията на Linux sigstore е безплатна за ползване услуга за подписване на софтуер с обществена цел с нестопанска цел, която ще използва съществуващите ключови технологии за по-добра защита на веригите за доставка на софтуер за разработване.

Той също така ще използва технологии за прозрачно регистриране, за да улесни проследяването на "произхода, целостта и откриваемост "на веригата за доставки на софтуер, което улеснява както собствениците на проекти, така и участниците в проекта да се доверят и следете промените.

Накратко, sigstore може да предостави на разработчиците на софтуер по-лесна за използване и безплатна опция за защита на важните файлове, свързани с даден проект. Разработчиците могат да използват sigstore за подписване на файлове за освобождаване, двоични файлове, манифести, документи, регистрационни файлове и др.

След като бъдат подписани, данните се добавят към "публичен дневник, устойчив на фалшифициране", известен като rekor, който Linux Foundation също е разработил.

Потребителите са податливи на различни насочени атаки, заедно с компрометиране на акаунти и криптографски ключове. По-специално ключовете са предизвикателство за управляващите софтуерни поддръжници. Проектите често трябва да поддържат списък на текущите ключове в употреба и да управляват ключовете на лица, които вече не допринасят за даден проект.

Сантяго Торес-Ариас, асистент по електротехника и компютърно инженерство, Университет в Пърди, е „много развълнуван от перспективите на система като sigstore“.

Софтуерната екосистема има остра нужда от подобно нещо, за да докладва състоянието на веригата на доставки. Предвиждам, че след като sigstore отговори на всички въпроси относно софтуерните източници и собствеността, можем да започнем да задаваме въпросите относно софтуерни дестинации, потребители, спазване (законно и друго), за идентифициране на престъпни мрежи и осигуряване на критична софтуерна инфраструктура

Свързани: Как да настроим SSL на вашия сайт бързо и безплатно с Let's Encrypt

Защита на уязвимите разработчици на софтуер

Проектът за фондация Linux Foundation насочва вниманието към уязвима област за разработчиците на софтуер. В момента много малко проекти активно подписват софтуерни артефакти. Това отнема много време, изисква допълнително управление и времето често се изразходва по-добре другаде - това, вместо да се занимавате със сложни ключови механизми за управление.

Свързани: Митовете за HTTPS и SSL сертификатите, на които не трябва да вярвате

Понастоящем много разработчици избират възможно най-лесния вариант, скривайки критичните ключове за шифроване в readme файлове или други уязвими места. Използването на потенциално лесно достъпни файлове, които нямат защита, е рецепта за бедствие, както се вижда при различните нарушения на GitHub и Bitbucket през годините.

тогава sigstore би трябвало да направи поне малко по-лесно управлението на ключовете за криптиране за софтуерни проекти, като освободи разработчиците да продължат с работата, която всъщност се радват.

Как да настроите HTTPS на вашия сайт: Просто ръководство

Google маркира уебсайтовете като „несигурни“, ако не използват HTTPS. Не искате да губите трафик към вашия сайт? Настройте SSL днес!

За автора