Linux Foundation запускает sigstore, новую службу подписи программного обеспечения

Linux Foundation запускает новый sigstore проект по обеспечению большей безопасности и защиты всех аспектов цепочки поставок программного обеспечения. Новый проект позволит разработчикам подписывать определенные аспекты процесса разработки, гарантируя, что файлы и другие активы несут надежное и защищенное от несанкционированного доступа шифрование.

sigstore для защиты происхождения программного обеспечения

Фонд Linux sigstore это бесплатная некоммерческая служба подписи программного обеспечения, которая будет использовать существующие ключевые технологии для лучшей защиты цепочек поставок при разработке программного обеспечения.

Он также будет использовать прозрачные технологии ведения журнала, чтобы упростить отслеживание "происхождения, целостности и обнаруживаемость »цепочки поставок программного обеспечения, что упрощает как владельцам проектов, так и их вкладчикам доверие и отслеживать изменения.

Короче говоря, sigstore может предоставить разработчикам программного обеспечения более простой и бесплатный вариант защиты важных файлов, связанных с проектом. Разработчики могут использовать sigstore для подписи файлов выпуска, двоичных файлов, манифестов, документов, журналов и т. Д.

После подписания данные добавляются в "защищенный от несанкционированного доступа общедоступный журнал", известный как Рекор, который также был разработан Linux Foundation.

Пользователи подвержены различным целевым атакам, а также компрометации учетной записи и криптографического ключа. Ключи, в частности, представляют собой сложную задачу для специалистов по сопровождению программного обеспечения. Проекты часто должны поддерживать список текущих используемых ключей и управлять ключами лиц, которые больше не участвуют в проекте.

Сантьяго Торрес-Ариас, доцент кафедры электротехники и вычислительной техники Университета Пердью, «очень взволнован перспективами такой системы, как sigstore».

Программная экосистема остро нуждается в чем-то подобном, чтобы сообщать о состоянии цепочки поставок. Я предполагаю, что, когда sigstore ответит на все вопросы об источниках программного обеспечения и владении, мы сможем начать задавать вопросы, касающиеся места назначения программного обеспечения, потребители, соблюдение требований (юридических и иных) для выявления преступных сетей и защиты критически важной программной инфраструктуры

Связанный: Как быстро и бесплатно установить SSL на вашем сайте с Let's Encrypt

Защита уязвимых разработчиков программного обеспечения

Проект sigstore Linux Foundation привлекает внимание к уязвимой области для разработчиков программного обеспечения. В настоящее время очень немногие проекты активно подписывают программные артефакты. Это отнимает много времени, требует дополнительного управления, и его часто лучше потратить в другом месте - на это, а не на сложные механизмы управления ключами.

Связанный: Мифы о HTTPS и SSL-сертификатах, которым вы не должны верить

В настоящее время многие разработчики выбирают самый простой вариант, скрывая важные ключи шифрования в файлах readme или других уязвимых местах. Использование потенциально легкодоступных файлов, которые не имеют защиты, - это рецепт катастрофы, о чем свидетельствуют различные взломы GitHub и Bitbucket на протяжении многих лет.

Таким образом, sigstore должен хотя бы немного упростить управление ключами шифрования для программных проектов, освобождая разработчиков для продолжения той работы, которая им действительно нравится.

Как настроить HTTPS на вашем сайте: простое руководство

Google отмечает веб-сайты как «небезопасные», если они не используют HTTPS. Не хотите терять посещаемость вашего сайта? Установите SSL сегодня!

Об авторе