Linuxi fond käivitab oma uue sigstore parem turvalisus ja kaitse tarkvara tarneahela kõigi aspektide jaoks. Uus projekt võimaldab arendajatel allkirjastada oma arendusprotsessi konkreetsed aspektid, tagades, et failidel ja muudel varal on tugev, võltsimiskindel krüptimine.

sigstore tarkvara päritolu kaitsmiseks

Linuxi fondi oma sigstore on tasuta kasutatav mittetulunduslik avalik hea tarkvara allkirjastamisteenus, mis kasutab tarkvara arendamise tarneahelate paremaks kaitsmiseks olemasolevat võtmetehnoloogiat.

Samuti kasutab see läbipaistvat metsaraietehnoloogiat, et hõlbustada lähtekoha, terviklikkuse ja tarkvara tarneahela avastatavus, mis hõlbustab nii projekti omanike kui ka kaasautorite usaldamist ja jälgida muudatusi.

Lühidalt öeldes võiks sigstore pakkuda tarkvaraarendajatele hõlpsamini kasutatavat ja tasuta võimalust projektiga seotud oluliste failide kaitsmiseks. Arendajad saavad sigstore'i kasutada väljaandefailide, binaarkaartide, manifestide, dokumentide, logide ja muu allkirjastamiseks.

instagram viewer

Pärast allkirjastamist lisatakse üksikasjad "võltsimiskindlale avalikule logile", mida nimetatakse rekor, mille on välja töötanud ka Linuxi sihtasutus.

Kasutajad on vastuvõtlikud erinevatele sihitud rünnakutele ning konto ja krüptovõtmete kompromissidele. Eelkõige on klahvid tarkvara hooldajatele väljakutseks hallata. Projektid peavad sageli pidama kasutatavate võtmete loendit ja haldama nende isikute võtmeid, kes enam projektis ei osale.

Purdue ülikooli elektri- ja arvutitehnika dotsent Santiago Torres-Arias on "väga põnevil sellise süsteemi väljavaadete üle nagu sigstore".

Tarkvaraökosüsteemil on tarvis tarneahela olekust teatamiseks midagi sellist. Kujutan ette, et kui sigstore vastab kõigile tarkvaraallikate ja omandiõiguse küsimustele, võime hakata esitama küsimusi tarkvara sihtkohad, tarbijad, vastavus (seaduslik ja muul viisil), kuritegelike võrkude tuvastamiseks ja kriitilise tarkvara infrastruktuuri kindlustamiseks

Seotud: Kuidas krüptida saidil SSL kiiresti ja tasuta seadistada

Haavatavate tarkvaraarendajate kaitsmine

Linuxi fondi sigstore-projekt juhib tähelepanu tarkvaraarendajate haavatavale alale. Praegu allkirjastavad tarkvara artefakte aktiivselt väga vähesed projektid. See on aeganõudev, nõuab täiendavat haldamist ja aega kulutatakse sageli paremini mujale - seda selle asemel, et tegeleda keerukate võtmehalduse mehhanismidega.

Seotud: Müüdid HTTPS-i ja SSL-sertifikaatide kohta, mida ei tohiks uskuda

Praegu valivad paljud arendajad võimalikult lihtsa võimaluse, peites kriitilised krüptovõtmed readme-failides või muudes haavatavates kohtades. Potentsiaalselt hõlpsasti ligipääsetavate failide kasutamine, millel puudub kaitse, on katastroofi retsept, nagu on näha aastate jooksul toimunud erinevate GitHubi ja Bitbucketi rikkumiste puhul.

sigstore peaks siis tegema tarkvara projektide krüptovõtmete haldamise vähemalt natuke lihtsamaks, vabastades arendajad jätkama neile tegelikult meeldivate töödega.

E-post
Kuidas oma saidil HTTPS-i seadistada: lihtne juhend

Google märgib veebisaidid kui "mitte turvalised", kui nad ei kasuta HTTPS-i. Kas te ei soovi oma saidi liiklust kaotada? Seadistage SSL juba täna!

Seotud teemad
  • Linux
  • Tehnikauudised
  • Krüpteerimine
  • Mängu arendamine
Autori kohta
Gavin Phillips (Avaldatud 767 artiklit)

Gavin on Windowsi ja Technology Explained nooremtoimetaja, Really Useful Podcasti regulaarne kaasautor ja oli MakeUseOfi krüptokeskse sõsarsaite Blocks Decoded toimetaja. Tal on Devoni mägedelt rüüstatud BA (Hons) kaasaegne kirjutamine digitaalsete kunstipraktikatega ning üle kümne aasta pikkune professionaalne kirjutamiskogemus. Ta naudib ohtralt teed, lauamänge ja jalgpalli.

Veel Gavin Phillipsilt

Telli meie uudiskiri

Liituge meie uudiskirjaga, et saada tehnilisi näpunäiteid, ülevaateid, tasuta e-raamatuid ja eksklusiivseid pakkumisi!

Veel üks samm !!!

Palun kinnitage oma e-posti aadress meilis, mille me just saatsime.

.