Linux fonds izlaiž savu jauno sigstore lai nodrošinātu labāku drošību un aizsardzību visiem programmatūras piegādes ķēdes aspektiem. Jaunais projekts ļaus izstrādātājiem parakstīt konkrētus sava izstrādes procesa aspektus, nodrošinot, ka failiem un citiem aktīviem ir spēcīga, droša šifrēšana.
sigstore, lai aizsargātu programmatūras izcelsmi
Linux fonda sigstore ir bezmaksas lietojams bezpeļņas sabiedrisks labas programmatūras parakstīšanas pakalpojums, kas izmantos esošo galveno tehnoloģiju, lai labāk aizsargātu programmatūras izstrādes piegādes ķēdes.
Tas arī izmantos caurspīdīgas mežizstrādes tehnoloģijas, lai būtu vieglāk izsekot "izcelsmei, integritātei un programmatūras piegādes ķēdes atpazīstamība, atvieglojot uzticēšanos gan projektu īpašniekiem, gan līdzstrādniekiem uzraudzīt izmaiņas.
Īsāk sakot, sigstore varētu nodrošināt programmatūras izstrādātājiem vieglāk lietojamu un bezmaksas iespēju aizsargāt ar projektu saistītos svarīgos failus. Izstrādātāji var izmantot sigstore, lai parakstītu izlaišanas failus, bināros failus, manifestus, dokumentus, žurnālus un daudz ko citu.
Pēc parakstīšanas informācija tiek pievienota "publiskam žurnālam, kas ir drošs pret viltojumiem", kas pazīstams kā rekor, kuru ir izstrādājis arī Linux fonds.
Lietotāji ir pakļauti dažādiem mērķtiecīgiem uzbrukumiem, kā arī konta un kriptogrāfiskās atslēgas kompromisiem. Atsevišķi taustiņi ir programmatūras uzturētāju izaicinājums pārvaldīt. Projektiem bieži ir jāsaglabā pašreizējo izmantoto atslēgu saraksts un jāpārvalda to personu atslēgas, kuras vairs neveicina projektu.
Santjago Toress-Ariass, Purdue universitātes elektrotehnikas un datortehnikas docents, "ir ļoti satraukti par tādas sistēmas izredzēm kā sigstore".
Programmatūras ekosistēmai ir ļoti nepieciešams kaut kas līdzīgs, lai ziņotu par piegādes ķēdes stāvokli. Es iedomājos, ka, sigstore atbildot uz visiem jautājumiem par programmatūras avotiem un īpašumtiesībām, mēs varam sākt uzdot jautājumus par programmatūras galamērķi, patērētāji, atbilstība (likumīgi un citādi), lai identificētu noziedzīgos tīklus un nodrošinātu kritiskās programmatūras infrastruktūru
Saistīts: Kā ātri un bez maksas iestatīt SSL savā vietnē, šifrējot
Neaizsargātu programmatūras izstrādātāju aizsardzība
Linux fonda sigstore projekts pievērš uzmanību programmatūras izstrādātāju neaizsargātai vietai. Pašlaik ļoti nedaudzi projekti aktīvi paraksta programmatūras artefaktus. Tas prasa daudz laika, prasa papildu pārvaldību, un laiku bieži labāk pavadīt citur, nevis tā, lai risinātu sarežģītus atslēgu pārvaldības mehānismus.
Saistīts: Mīti par HTTPS un SSL sertifikātiem, kuriem nevajadzētu ticēt
Pašlaik daudzi izstrādātāji izvēlas pēc iespējas vienkāršāku iespēju, kritiskos šifrēšanas atslēgas slēpjot readme failos vai citās neaizsargātās vietās. Potenciāli viegli pieejamu failu, kuriem nav aizsardzības, izmantošana ir katastrofas recepte, kā tas redzams dažādos GitHub un Bitbucket pārkāpumos gadu gaitā.
Tad sigstore vajadzētu vismaz nedaudz atvieglot programmatūras projektu šifrēšanas atslēgu pārvaldību, ļaujot izstrādātājiem turpināt darbu, kas viņiem patiešām patīk.
Google atzīmē vietnes kā "nedrošas", ja tās neizmanto HTTPS. Vai nevēlaties zaudēt datplūsmu uz savu vietni? Iestatiet SSL jau šodien!
- Linux
- Tehniskās ziņas
- Šifrēšana
- Spēļu izstrāde
Gavins ir jaunākais redaktors operētājsistēmām Windows un Technology Explained, pastāvīgs līdzstrādnieks Really Useful Podcast un bija MakeUseOf kriptogrāfiski orientētās māsas vietnes Blocks Decoded redaktors. Viņam ir BA (Hons) mūsdienu rakstīšana ar digitālās mākslas praksi, kas aplaupīta no Devonas kalniem, kā arī vairāk nekā desmit gadu profesionāla rakstīšanas pieredze. Viņš bauda daudz tējas, galda spēles un futbolu.
Abonējiet mūsu biļetenu
Pievienojieties mūsu informatīvajam izdevumam par tehniskiem padomiem, atsauksmēm, bezmaksas e-grāmatām un ekskluzīviem piedāvājumiem!
Vēl viens solis !!!
Lūdzu, apstipriniet savu e-pasta adresi e-pastā, kuru tikko nosūtījām.
