Linux Foundation uvádí na trh svou novinku obchod s potravinami projekt zajišťující lepší zabezpečení a ochranu všech aspektů dodavatelského řetězce softwaru. Nový projekt umožní vývojářům podepsat konkrétní aspekty jejich vývojového procesu a zajistí, aby soubory a další aktiva obsahovaly silné šifrování odolné proti neoprávněné manipulaci.
sigstore do Protect Software Origins
Linux Foundation obchod s potravinami je bezplatná veřejně prospěšná služba pro podepisování softwaru, která je nezisková a která bude využívat stávající klíčovou technologii k lepší ochraně dodavatelských řetězců vývoje softwaru.
Bude také využívat transparentní technologie protokolování, aby bylo snazší vysledovat „původ, integritu a objevitelnost "dodavatelského řetězce softwaru, což usnadňuje důvěru vlastníkům projektů i přispěvatelům." sledovat změny.
Stručně řečeno, sigstore by mohl vývojářům softwaru poskytnout snadnější použití a bezplatnou možnost ochrany důležitých souborů spojených s projektem. Vývojáři mohou pomocí sigstore podepisovat soubory vydání, binární soubory, manifesty, dokumenty, protokoly a další.
Po podepsání se podrobnosti přidají do „veřejného protokolu odolného proti neoprávněné manipulaci“ známého jako rekor, kterou také vyvinula Linux Foundation.
Uživatelé jsou náchylní k různým cíleným útokům spolu s kompromitováním účtu a kryptografického klíče. Zejména klíče jsou výzvou pro správce softwaru, aby je mohli spravovat. Projekty často musí udržovat seznam aktuálních používaných klíčů a spravovat klíče jednotlivců, kteří již na projekt nepřispívají.
Santiago Torres-Arias, odborný asistent elektrotechniky a výpočetní techniky, University of Purdue, je „velmi nadšený z vyhlídek na systém jako sigstore“.
Softwarový ekosystém potřebuje něco podobného k hlášení stavu dodavatelského řetězce. Představuji si, že když sigstore odpoví na všechny otázky týkající se zdrojů softwaru a vlastnictví, můžeme začít klást otázky týkající se softwarové destinace, spotřebitelé, dodržování předpisů (legální i jiné), k identifikaci zločineckých sítí a zabezpečení kritické softwarové infrastruktury
Příbuzný: Jak rychle a zdarma nastavit SSL na vašem webu pomocí Pojďme šifrovat
Ochrana zranitelných vývojářů softwaru
Projekt sigstore nadace Linux Foundation upozorňuje na zranitelnou oblast pro vývojáře softwaru. V současné době velmi málo projektů aktivně podepisuje softwarové artefakty. Je to časově náročné, vyžaduje to další správu a čas se často lépe stráví jinde - než se zabývat složitými mechanismy správy klíčů.
Příbuzný: Mýty o HTTPS a SSL certifikátech, kterým byste neměli věřit
V současné době se mnoho vývojářů rozhodne pro nejjednodušší možnou možnost, která skryje klíčové šifrovací klíče v souborech readme nebo na jiných zranitelných místech. Použití potenciálně snadno přístupných souborů, které postrádají ochranu, je receptem na katastrofu, jak je patrné z různých porušení GitHub a Bitbucket v průběhu let.
sigstore by tedy mělo alespoň trochu usnadnit správu šifrovacích klíčů pro softwarové projekty, což vývojářům uvolní možnost pokračovat v práci, kterou skutečně baví.
Google označuje weby jako „nezabezpečené“, pokud nepoužívají protokol HTTPS. Nechcete ztratit provoz na svém webu? Nastavit SSL ještě dnes!
- Linux
- Tech News
- Šifrování
- Vývoj her
Gavin je Junior Editor pro Windows a Technology Explained, pravidelný přispěvatel do opravdu užitečného podcastu a byl editorem sesterského webu MakeUseOf zaměřeného na kryptoměny Blocks Decoded. Má BA (Hons) Contemporary Writing with Digital Art Practices drancovaný z kopců Devonu a také více než deset let zkušeností s profesionálním psaním. Má rád velké množství čaje, deskových her a fotbalu.
Přihlaste se k odběru našeho zpravodaje
Připojte se k našemu zpravodaji s technickými tipy, recenzemi, bezplatnými elektronickými knihami a exkluzivními nabídkami!
Ještě jeden krok…!
V e-mailu, který jsme vám právě poslali, potvrďte svou e-mailovou adresu.