Linux-säätiö lanseeraa uuden sigstore parantaa turvallisuutta ja suojausta ohjelmistojen toimitusketjun kaikilla osa-alueilla. Uuden projektin avulla kehittäjät voivat allekirjoittaa kehitysprosessinsa tietyt näkökohdat varmistaen, että tiedostoilla ja muulla omaisuudella on vahva, väärinkäytön kestävä salaus.
sigstore suojaamaan ohjelmiston alkuperää
Linux-säätiön sigstore on ilmainen, voittoa tavoittelematon yleishyödyllisten ohjelmistojen allekirjoituspalvelu, joka käyttää olemassa olevaa avaintekniikkaa ohjelmistokehityksen toimitusketjujen suojaamiseksi paremmin.
Se käyttää myös avoimia puunkorjuutekniikoita "alkuperän, eheyden ja." Jäljittämisen helpottamiseksi ohjelmistojen toimitusketjun löydettävyys ", mikä helpottaa sekä projektin omistajien että avustajien luottamusta ja seurata muutoksia.
Lyhyesti sanottuna sigstore voisi tarjota ohjelmistokehittäjille helpommin käytettävän ja ilmaisen vaihtoehdon projektiin liittyvien tärkeiden tiedostojen suojaamiseen. Kehittäjät voivat käyttää sigstorea allekirjoittamaan julkaisutiedostoja, binäärejä, luetteloita, asiakirjoja, lokeja ja muuta.
Allekirjoitettuaan tiedot lisätään "väärinkäytön kestävään julkiseen lokiin", joka tunnetaan nimellä rekor, jonka myös Linux Foundation on kehittänyt.
Käyttäjät ovat alttiita erilaisille kohdennetuille hyökkäyksille sekä tilin ja salausavaimen vaarantumiselle. Erityisesti avaimet ovat haaste ohjelmistojen ylläpitäjille hallita. Projektien on usein ylläpidettävä luetteloa käytössä olevista avaimista ja hallinnoitava niiden henkilöiden avaimia, jotka eivät enää osallistu projektiin.
Santiago Torres-Arias, apulainen sähkö- ja tietotekniikan laitos, Purduen yliopistossa, on "erittäin innoissaan sigstore-kaltaisen järjestelmän näkymistä".
Ohjelmistoekosysteemi tarvitsee kipeästi jotain sellaista raportoidakseen toimitusketjun tilan. Kuvittelen, että kun sigstore vastaa kaikkiin ohjelmistolähteitä ja omistajuutta koskeviin kysymyksiin, voimme alkaa esittää kysymyksiä ohjelmistokohteet, kuluttajat, vaatimustenmukaisuus (laillinen ja muu) rikollisten verkkojen tunnistamiseksi ja kriittisen ohjelmistoinfrastruktuurin turvaamiseksi
Liittyvät: Kuinka salata SSL sivustollesi nopeasti ja ilmaiseksi Salataan
Haavoittuvien ohjelmistokehittäjien suojaaminen
Linux Foundationin sigstore-projekti tuo huomiota ohjelmistokehittäjien haavoittuvaan alueeseen. Tällä hetkellä hyvin harvat projektit allekirjoittavat aktiivisesti ohjelmisto-esineitä. Se on aikaa vievää, vaatii ylimääräistä hallintaa, ja aika vietetään usein paremmin muualle - monimutkaisten avainhallintamekanismien sijaan.
Liittyvät: Myytit HTTPS- ja SSL-varmenteista, joita sinun ei pitäisi uskoa
Tällä hetkellä monet kehittäjät valitsevat helpoimman vaihtoehdon piilottamalla kriittiset salausavaimet readme-tiedostoihin tai muihin haavoittuviin paikkoihin. Mahdollisten helposti saatavilla olevien tiedostojen käyttö, joilla ei ole suojausta, on katastrofiresepti, kuten on havaittu useiden GitHub- ja Bitbucket-rikkomusten kanssa vuosien varrella.
sigstoren pitäisi siis tehdä ohjelmistoprojektien salausavainten hallinnan ainakin hieman helpommaksi vapauttamalla kehittäjät jatkamaan tosiasiallisesti nautittavaa työtä.
Google merkitsee verkkosivustoja "suojaamattomiksi", jos ne eivät käytä HTTPS: ää. Etkö halua menettää sivustosi liikennettä? Määritä SSL tänään!
- Linux
- Tech News
- Salaus
- Pelin kehitys
Gavin on Windows and Technology Explained -ohjelman nuorempi toimittaja, säännöllinen avustaja todella hyödyllisessä podcastissa, ja hän oli MakeUseOfin salakeskeisen sisarussivuston, Blocks Decoded, toimittaja. Hänellä on BA (Hons) nykykirjoittaminen digitaalisen taiteen käytöillä, jotka on ryöstetty Devonin kukkuloilta, sekä yli vuosikymmenen ammattitaitoinen kirjoituskokemus. Hän nauttii runsaasta määrästä teetä, lautapelejä ja jalkapalloa.
Tilaa uutiskirjeemme
Liity uutiskirjeeseemme, jossa on teknisiä vinkkejä, arvosteluja, ilmaisia e-kirjoja ja erikoistarjouksia!
Vielä yksi askel !!!
Vahvista sähköpostiosoitteesi juuri lähettämässäsi sähköpostiviestissä.
