Linux Foundation lancerer sit nye sigstore projekt for at give bedre sikkerhed og beskyttelse af alle aspekter af softwareforsyningskæden. Det nye projekt vil gøre det muligt for udviklere at underskrive specifikke aspekter af deres udviklingsproces og sikre, at filer og andre aktiver bærer stærk, manipulationssikker kryptering.
sigstore til Protect Software Origins
Linux Foundation's sigstore er en gratis-til-brug, non-profit offentlig god software signeringstjeneste, der vil bruge eksisterende nøgleteknologi til at beskytte softwareudvikling forsyningskæder bedre.
Det vil også bruge gennemsigtig logningsteknologi for at gøre det lettere at spore "herkomst, integritet og opdagelsesevne "af softwareforsyningskæden, hvilket gør det lettere for både projektejere og bidragsydere at have tillid til og overvåge ændringer.
Kort sagt, sigstore kunne give softwareudviklere en lettere at bruge og gratis mulighed for at beskytte de vigtige filer, der er knyttet til et projekt. Udviklere kan bruge sigstore til at underskrive frigivelsesfiler, binære filer, manifest, dokumenter, logfiler og mere.
Når de er underskrevet, føjes detaljerne til en "manipulationsresistent offentlig log" kendt som rekor, som Linux Foundation også har udviklet.
Brugere er modtagelige for forskellige målrettede angreb sammen med konto- og kryptografisk nøglekompromis. Især nøgler er en udfordring for softwareholdere at administrere. Projekter skal ofte føre en liste over aktuelle nøgler i brug og administrere nøglerne til personer, der ikke længere bidrager til et projekt.
Santiago Torres-Arias, lektor i elektroteknik og computerteknik, University of Purdue, er "meget begejstret for udsigterne til et system som sigstore."
Softwareøkosystemet har et stort behov for noget lignende til at rapportere tilstanden i forsyningskæden. Jeg forestiller mig, at med sigstore at besvare alle spørgsmål om softwarekilder og ejerskab, kan vi begynde at stille spørgsmål vedrørende softwaredestinationer, forbrugere, overholdelse (lovlig og ellers) til identifikation af kriminelle netværk og sikker kritisk softwareinfrastruktur
Relaterede: Sådan opsættes SSL på dit websted hurtigt og gratis med Lad os kryptere
Beskyttelse af sårbare softwareudviklere
Linux Foundation's sigstore-projekt er opmærksom på et sårbart område for softwareudviklere. I øjeblikket underskriver meget få projekter aktivt softwareartifakter. Det er tidskrævende, kræver ekstra styring, og tiden bruges ofte bedre andre steder - dette snarere end at håndtere komplekse nøglehåndteringsmekanismer.
Relaterede: Myterne om HTTPS og SSL-certifikater, du ikke bør tro på
I øjeblikket vælger mange udviklere den nemmeste mulighed og skjuler kritiske krypteringsnøgler i readme-filer eller andre sårbare steder. Brug af let tilgængelige filer, der mangler beskyttelse, er en opskrift på katastrofe, som det ses med de forskellige GitHub- og Bitbucket-overtrædelser gennem årene.
sigstore skulle så gøre det i det mindste lidt nemmere at administrere krypteringsnøgler til softwareprojekter, hvilket frigøre udviklere til at fortsætte med det stykke arbejde, de faktisk nyder.
Google markerer websteder som "ikke sikre", hvis de ikke bruger HTTPS. Vil du ikke miste trafik til dit websted? Opret SSL i dag!
- Linux
- Tekniske nyheder
- Kryptering
- Spiludvikling
Gavin er Junior Editor til Windows og Technology Explained, en regelmæssig bidragyder til den virkelig nyttige podcast og var redaktør for MakeUseOfs kryptofokuserede søsterside, Blocks Decoded. Han har en BA (Hons) moderne skrivning med digital kunstpraksis, der er plyndret fra Devons bakker, samt over et årti med professionel skriverfaring. Han nyder store mængder te, brætspil og fodbold.
Abonner på vores nyhedsbrev
Deltag i vores nyhedsbrev for tekniske tip, anmeldelser, gratis e-bøger og eksklusive tilbud!
Et trin mere !!!
Bekræft din e-mail-adresse i den e-mail, vi lige har sendt dig.