Linux Foundation uvádza na trh svoju novinku obchod s potravinami projekt na zabezpečenie lepšej bezpečnosti a ochrany pre všetky aspekty dodávateľského reťazca softvéru. Nový projekt umožní vývojárom podpísať konkrétne aspekty ich vývojového procesu a zaistí, aby súbory a ďalšie aktíva obsahovali silné šifrovanie odolné proti neoprávnenej manipulácii.
obchodník na ochranu softvérového pôvodu
Nadácia Linux obchod s potravinami je bezplatná verejná služba verejného podpisovania softvéru zameraná na neziskové účely, ktorá bude využívať existujúcu kľúčovú technológiu na lepšiu ochranu dodávateľských reťazcov vývoja softvéru.
Bude tiež využívať transparentné technológie ťažby dreva, aby uľahčila sledovanie „pôvodu, integrity a objaviteľnosť "dodávateľského reťazca softvéru, čo uľahčuje dôveru vlastníkom projektu aj prispievateľom." sledovať zmeny.
Stručne povedané, sigstore by mohol vývojárom softvéru poskytnúť ľahšie použiteľnú a bezplatnú možnosť ochrany dôležitých súborov spojených s projektom. Vývojári môžu pomocou sigstore podpísať súbory, binárne súbory, manifesty, dokumenty, denníky a ďalšie súbory.
Po podpísaní sa podrobnosti pridajú do „verejného denníka odolného proti neoprávnenej manipulácii“ známeho ako rekor, ktorú vyvinula aj Linux Foundation.
Používatelia sú náchylní na rôzne cielené útoky spolu s kompromitáciami účtov a kryptografických kľúčov. Najmä kľúče sú výzvou pre správcov softvéru, aby ich mohli spravovať. Projekty musia často udržiavať zoznam aktuálnych používaných kľúčov a spravovať kľúče jednotlivcov, ktorí už do projektu neprispievajú.
Santiago Torres-Arias, odborný asistent elektrotechniky a počítačového inžinierstva na univerzite v Purdue, „je veľmi nadšený z vyhliadok systému ako sigstore“.
Softvérový ekosystém niečo také veľmi potrebuje, aby mohol hlásiť stav dodávateľského reťazca. Predpokladám, že keď sigstore odpovie na všetky otázky týkajúce sa zdrojov softvéru a vlastníctva, môžeme začať klásť otázky týkajúce sa softvérové miesta určenia, spotrebitelia, súlad (legálny a iný), na identifikáciu zločineckých sietí a zabezpečenie kritickej softvérovej infraštruktúry
Súvisiace: Ako rýchlo a zadarmo nastaviť SSL na vašom webe pomocou šifrovania
Ochrana zraniteľných vývojárov softvéru
Projekt sigstore nadácie Linux Foundation upozorňuje na zraniteľnú oblasť pre vývojárov softvéru. V súčasnosti veľmi málo projektov aktívne podpisuje softvérové artefakty. Je to časovo náročné, vyžaduje si to ďalšie riadenie a čas sa často trávi lepšie inde - namiesto toho, aby ste sa zaoberali zložitými kľúčovými mechanizmami riadenia.
Súvisiace: Mýty o HTTPS a SSL certifikátoch, ktorým by ste nemali veriť
V súčasnosti sa mnoho vývojárov rozhoduje pre najjednoduchšiu možnú možnosť, keď skrývajú kritické šifrovacie kľúče v súboroch readme alebo na iných zraniteľných miestach. Používanie potenciálne ľahko prístupných súborov, ktoré nemajú ochranu, je receptom na katastrofu, ako to vidno pri rôznych porušeniach GitHub a Bitbucket v priebehu rokov.
sigstore by potom mal aspoň o niečo uľahčiť správu šifrovacích kľúčov pre softvérové projekty, čo vývojárom uvoľní možnosť pokračovať v práci, ktorá ich skutočne baví.
Google označuje weby ako „nezabezpečené“, ak nepoužívajú protokol HTTPS. Nechcete stratiť prenos na svoje stránky? Nastavte si SSL ešte dnes!
- Linux
- Tech News
- Šifrovanie
- Vývoj hier
Gavin je Junior Editor pre Windows a vysvetlené technológie, pravidelný prispievateľ do skutočne užitočného podcastu, a bol editorom sesterského webu MakeUseOf zameraného na kryptomeny Blocks Decoded. Má BA (Hons) súčasné písanie s praktikami digitálneho umenia drancované z kopcov Devonu a tiež viac ako desaťročie profesionálnych skúseností s písaním. Má rád veľké množstvo čaju, spoločenských hier a futbalu.
Prihlásiť sa ku odberu noviniek
Pripojte sa k nášmu bulletinu s technickými tipmi, recenziami, bezplatnými elektronickými knihami a exkluzívnymi ponukami!
Ešte jeden krok…!
V e-maile, ktorý sme vám práve poslali, potvrďte svoju e-mailovú adresu.
