Το Linux Foundation εγκαινιάζει το sigstore, μια νέα υπηρεσία υπογραφής λογισμικού

Το Linux Foundation κυκλοφορεί το νέο του sigstore έργο για την παροχή καλύτερης ασφάλειας και προστασίας για όλες τις πτυχές της αλυσίδας εφοδιασμού λογισμικού. Το νέο έργο θα επιτρέψει στους προγραμματιστές να υπογράψουν συγκεκριμένες πτυχές της διαδικασίας ανάπτυξής τους, διασφαλίζοντας ότι τα αρχεία και άλλα στοιχεία έχουν ισχυρή, αδιάβροχη κρυπτογράφηση.

sigstore για την προστασία του λογισμικού προέλευσης

Το Linux Foundation's sigstore είναι μια δωρεάν υπηρεσία χρήσης, μη κερδοσκοπική δημόσια υπογραφή λογισμικού που θα χρησιμοποιεί την υπάρχουσα βασική τεχνολογία για την καλύτερη προστασία των αλυσίδων εφοδιασμού ανάπτυξης λογισμικού.

Θα χρησιμοποιήσει επίσης διαφανείς τεχνολογίες καταγραφής για να διευκολύνει τον εντοπισμό της προέλευσης, της ακεραιότητας και της δυνατότητα εντοπισμού "της αλυσίδας εφοδιασμού λογισμικού, καθιστώντας ευκολότερη την εμπιστοσύνη τόσο των κατόχων έργων όσο και των συντελεστών παρακολουθεί τις αλλαγές.

Εν ολίγοις, το sigstore θα μπορούσε να προσφέρει στους προγραμματιστές λογισμικού μια ευκολότερη στη χρήση και δωρεάν επιλογή για την προστασία των σημαντικών αρχείων που σχετίζονται με ένα έργο. Οι προγραμματιστές μπορούν να χρησιμοποιήσουν το sigstore για να υπογράψουν αρχεία απελευθέρωσης, δυαδικά αρχεία, μανιφέστο, έγγραφα, αρχεία καταγραφής και άλλα.

Μόλις υπογραφεί, οι λεπτομέρειες προστίθενται σε ένα "δημόσιο ημερολόγιο ανθεκτικό σε παραβιάσεις" γνωστό ως ρεκόρ, το οποίο έχει επίσης αναπτύξει το Ίδρυμα Linux.

Οι χρήστες είναι ευαίσθητοι σε διάφορες στοχευμένες επιθέσεις, μαζί με συμβιβασμούς λογαριασμών και κρυπτογραφικών κλειδιών. Τα κλειδιά είναι ιδιαίτερα μια πρόκληση για τη διαχείριση των λογισμικών. Τα έργα συχνά πρέπει να διατηρούν μια λίστα με τα τρέχοντα κλειδιά που χρησιμοποιούνται και να διαχειρίζονται τα κλειδιά των ατόμων που δεν συνεισφέρουν πλέον σε ένα έργο.

Ο Santiago Torres-Arias, Επίκουρος Καθηγητής Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών, University of Purdue, είναι «πολύ ενθουσιασμένος για τις προοπτικές ενός συστήματος όπως το sigstore».

Το οικοσύστημα λογισμικού χρειάζεται απόλυτα κάτι τέτοιο για να αναφέρει την κατάσταση της αλυσίδας εφοδιασμού. Φαντάζομαι ότι, με το sigstore να απαντά σε όλες τις ερωτήσεις σχετικά με τις πηγές λογισμικού και την ιδιοκτησία, μπορούμε να αρχίσουμε να κάνουμε τις σχετικές ερωτήσεις προορισμοί λογισμικού, καταναλωτές, συμμόρφωση (νόμιμα και άλλα), για τον εντοπισμό εγκληματικών δικτύων και την ασφάλεια κρίσιμης υποδομής λογισμικού

Σχετιζομαι με: Πώς να ρυθμίσετε το SSL στον ιστότοπό σας γρήγορα και δωρεάν με το Let's Encrypt

Προστασία ευάλωτων προγραμματιστών λογισμικού

Το έργο sigstore του Linux Foundation φέρνει την προσοχή σε μια ευάλωτη περιοχή για προγραμματιστές λογισμικού. Επί του παρόντος, πολύ λίγα έργα υπογράφουν ενεργά τεχνουργήματα λογισμικού. Είναι χρονοβόρο, απαιτεί επιπλέον διαχείριση και ο χρόνος συχνά ξοδεύεται καλύτερα αλλού - αυτό, αντί να ασχολείται με σύνθετους βασικούς μηχανισμούς διαχείρισης.

Σχετιζομαι με: Οι μύθοι για τα πιστοποιητικά HTTPS και SSL που δεν πρέπει να πιστεύετε

Επί του παρόντος, πολλοί προγραμματιστές επιλέγουν την ευκολότερη δυνατή επιλογή, κρύβοντας κρίσιμα κλειδιά κρυπτογράφησης σε αρχεία readme ή σε άλλα ευάλωτα μέρη. Η χρήση πιθανώς εύκολα προσβάσιμων αρχείων που στερούνται προστασίας είναι μια συνταγή για καταστροφή, όπως φαίνεται με τις διάφορες παραβιάσεις GitHub και Bitbucket με την πάροδο των ετών.

Το sigstore, λοιπόν, θα πρέπει να διευκολύνει τουλάχιστον τη διαχείριση κλειδιών κρυπτογράφησης για έργα λογισμικού, ελευθερώνοντας τους προγραμματιστές να συνεχίσουν με τα κομμάτια της εργασίας που πραγματικά απολαμβάνουν.

Πώς να ρυθμίσετε το HTTPS στον ιστότοπό σας: Ένας απλός οδηγός

Η Google επισημαίνει τους ιστότοπους ως "μη ασφαλείς" εάν δεν χρησιμοποιούν HTTPS. Δεν θέλετε να χάσετε την επισκεψιμότητα στον ιστότοπό σας; Ρύθμιση SSL σήμερα!

Σχετικά με τον Συγγραφέα