Linux Foundation lanserer sitt nye sigstore prosjekt for å gi bedre sikkerhet og beskyttelse for alle aspekter av programvareforsyningskjeden. Det nye prosjektet vil gjøre det mulig for utviklere å signere spesifikke aspekter av utviklingsprosessen, og sikre at filer og andre eiendeler har sterk, manipulasjonssikker kryptering.
sigstore til Protect Software Origins
Linux Foundation sigstore er en gratis, ikke-kommersiell offentlig god programvaresigneringstjeneste som vil bruke eksisterende nøkkelteknologi for å beskytte programvareutviklingskjedene bedre.
Det vil også bruke gjennomsiktige loggteknologier for å gjøre det lettere å spore "herkomst, integritet og oppdagbarhet "av programvareforsyningskjeden, noe som gjør det lettere for både prosjekteiere og bidragsytere å stole på og overvåke endringer.
Kort sagt, sigstore kan gi programvareutviklere et enklere å bruke og gratis alternativ for å beskytte de viktige filene som er knyttet til et prosjekt. Utviklere kan bruke sigstore til å signere utgivelsesfiler, binærfiler, manifest, dokumenter, logger og mer.
Når de er signert, blir detaljene lagt til i en "manipulasjonsresistent offentlig logg", kjent som rekor, som Linux Foundation også har utviklet.
Brukere er utsatt for ulike målrettede angrep, sammen med kompromiss mellom konto og kryptografisk nøkkel. Spesielt nøkler er en utfordring for programvareholdere å administrere. Prosjekter må ofte føre en liste over nåværende nøkler i bruk, og administrere nøklene til enkeltpersoner som ikke lenger bidrar til et prosjekt.
Santiago Torres-Arias, assisterende professor i elektro- og datateknikk, University of Purdue, er "veldig spent på utsiktene til et system som sigstore."
Programvarens økosystem har et sterkt behov for noe lignende for å rapportere tilstanden i forsyningskjeden. Jeg ser for meg at med sigstore som svarer på alle spørsmålene om programvarekilder og eierskap, kan vi begynne å stille spørsmål angående programvaredestinasjoner, forbrukere, overholdelse (lovlig og ellers), for å identifisere kriminelle nettverk og sikre kritisk programvareinfrastruktur
I slekt: Slik konfigurerer du SSL på nettstedet ditt raskt og gratis med La oss kryptere
Beskytte sårbare programvareutviklere
Linux Foundation's sigstore-prosjekt bringer oppmerksomhet til et sårbart område for programvareutviklere. For øyeblikket er det veldig få prosjekter som aktivt signerer programvareartefakter. Det er tidkrevende, krever ekstra ledelse, og tiden brukes ofte bedre andre steder - dette, i stedet for å håndtere komplekse nøkkelhåndteringsmekanismer.
I slekt: Mytene om HTTPS og SSL-sertifikater du ikke bør tro
For tiden velger mange utviklere det enkleste alternativet mulig, og skjuler kritiske krypteringsnøkler i readme-filer eller andre sårbare steder. Å bruke potensielt lett tilgjengelige filer som mangler beskyttelse, er en oppskrift på katastrofe, sett med de forskjellige GitHub- og Bitbucket-bruddene gjennom årene.
Sigstore burde da gjøre det i det minste litt enklere å administrere krypteringsnøkler for programvareprosjekter, og frigjøre utviklere til å fortsette med biter av arbeidet de faktisk liker.
Google merker nettsteder som "ikke sikre" hvis de ikke bruker HTTPS. Vil du ikke miste trafikk til nettstedet ditt? Sett opp SSL i dag!
- Linux
- Tekniske nyheter
- Kryptering
- Spillutvikling
Gavin er Junior Editor for Windows and Technology Explained, en regelmessig bidragsyter til den virkelig nyttige podcasten, og var redaktør for MakeUseOfs kryptofokuserte søsterside, Blocks Decoded. Han har en BA (Hons) moderne skriving med digital kunstutøvelse plyndret fra åsene i Devon, samt over et tiår med profesjonell skriveerfaring. Han liker store mengder te, brettspill og fotball.
Abonner på vårt nyhetsbrev
Bli med på nyhetsbrevet vårt for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!
Ett steg til…!
Bekreft e-postadressen din i e-posten vi nettopp sendte deg.