Linux Foundation lansează sigstore, un nou serviciu de semnare software

Fundația Linux lansează noua sa versiune sigstore proiect pentru a oferi o mai bună securitate și protecție pentru toate aspectele lanțului de aprovizionare cu software. Noul proiect va permite dezvoltatorilor să semneze aspecte specifice procesului lor de dezvoltare, asigurându-se că fișierele și alte active au o criptare puternică, rezistentă la manipulare.

sigstore pentru a proteja originile software-ului

Fundația Linux sigstore este un serviciu de semnare a software-ului public gratuit, non-profit, care va folosi tehnologia cheie existentă pentru a proteja mai bine lanțurile de aprovizionare pentru dezvoltarea de software.

De asemenea, va utiliza tehnologii transparente de înregistrare pentru a facilita urmărirea „provenienței, integrității și "descoperibilitatea" lanțului de aprovizionare cu software, facilitând atât încrederea și proprietarilor de proiecte, cât și contribuabilii monitorizați modificările.

Pe scurt, sigstore ar putea oferi dezvoltatorilor de software o opțiune mai ușor de utilizat și gratuită pentru protejarea fișierelor importante asociate cu un proiect. Dezvoltatorii pot utiliza sigstore pentru a semna fișiere de lansare, binare, manifeste, documente, jurnale și multe altele.

Odată semnate, detaliile sunt adăugate la un „jurnal public rezistent la manipulare” cunoscut sub numele de rekor, pe care l-a dezvoltat și Linux Foundation.

Utilizatorii sunt susceptibili la diverse atacuri vizate, alături de cont și de compromiterea cheii criptografice. Cheile, în special, sunt o provocare pentru gestionarii întreținătorilor de software. Proiectele trebuie adesea să mențină o listă de chei curente utilizate și să gestioneze cheile persoanelor care nu mai contribuie la un proiect.

Santiago Torres-Arias, profesor asistent de inginerie electrică și informatică, Universitatea din Purdue, este „foarte încântat de perspectivele unui sistem precum sigstore”.

Ecosistemul software are mare nevoie de așa ceva pentru a raporta starea lanțului de aprovizionare. Îmi imaginez că, cu sigstore care răspunde la toate întrebările despre sursele și proprietatea software-ului, putem începe să punem întrebări cu privire la destinații software, consumatori, conformitate (legală și de altă natură), pentru a identifica rețelele criminale și a securiza infrastructura software critică

Legate de: Cum să configurați SSL pe site-ul dvs. rapid și gratuit cu Let's Encrypt

Protejarea dezvoltatorilor de software vulnerabili

Proiectul sigstore al Fundației Linux atrage atenția asupra unei zone vulnerabile pentru dezvoltatorii de software. În prezent, foarte puține proiecte semnează în mod activ artefacte software. Este consumator de timp, necesită o gestionare suplimentară, iar timpul este adesea mai bine petrecut în altă parte - mai degrabă decât să se ocupe de mecanisme complexe de management cheie.

Legate de: Mituri despre certificatele HTTPS și SSL pe care nu ar trebui să le credeți

În prezent, mulți dezvoltatori optează pentru cea mai ușoară opțiune posibilă, ascunzând cheile de criptare critice în fișiere readme sau în alte locuri vulnerabile. Utilizarea fișierelor potențial ușor accesibile, care nu au protecție, este o rețetă pentru dezastru, așa cum se vede cu diferitele încălcări ale GitHub și Bitbucket de-a lungul anilor.

sigstore ar trebui să faciliteze cel puțin un pic administrarea cheilor de criptare pentru proiectele software, eliberând dezvoltatorii să continue lucrurile de care se bucură.

Cum să configurați HTTPS pe site-ul dvs.: un ghid simplu

Google marchează site-urile web ca „nesigure” dacă nu utilizează HTTPS. Nu doriți să pierdeți trafic pe site-ul dvs.? Configurați SSL astăzi!

Despre autor