De Linux Foundation lanceert sigstore, een nieuwe softwareondertekeningsservice

De Linux Foundation lanceert zijn nieuwe sigstore project om een ​​betere beveiliging en bescherming te bieden voor alle aspecten van de toeleveringsketen van software. Het nieuwe project stelt ontwikkelaars in staat om specifieke aspecten van hun ontwikkelingsproces te ondertekenen en ervoor te zorgen dat bestanden en andere activa een sterke, fraudebestendige codering bevatten.

sigstore om de oorsprong van software te beschermen

De Linux Foundation sigstore is een gratis te gebruiken non-profit dienst voor het ondertekenen van software voor algemeen belang die bestaande sleuteltechnologie zal gebruiken om toeleveringsketens voor softwareontwikkeling beter te beschermen.

Het zal ook transparante logging-technologieën gebruiken om het gemakkelijker te maken om de "herkomst, integriteit en vindbaarheid 'van de softwareleveringsketen, waardoor het voor zowel projecteigenaren als bijdragers aan vertrouwen gemakkelijker wordt en monitor veranderingen.

Kortom, sigstore zou softwareontwikkelaars een gemakkelijker te gebruiken en gratis optie kunnen bieden voor het beschermen van de belangrijke bestanden die aan een project zijn gekoppeld. Ontwikkelaars kunnen sigstore gebruiken om releasebestanden, binaire bestanden, manifesten, documenten, logboeken en meer te ondertekenen.

Na ondertekening worden de details toegevoegd aan een "fraudebestendig openbaar logboek" dat bekend staat als rekor, die ook door de Linux Foundation is ontwikkeld.

Gebruikers zijn vatbaar voor verschillende gerichte aanvallen, samen met het in gevaar brengen van accounts en cryptografische sleutels. Vooral sleutels zijn een uitdaging voor software-beheerders om te beheren. Projecten moeten vaak een lijst bijhouden van de huidige sleutels die in gebruik zijn, en de sleutels beheren van individuen die niet langer bijdragen aan een project.

Santiago Torres-Arias, universitair docent elektrische en computertechnologie, Universiteit van Purdue, is "erg enthousiast over de vooruitzichten van een systeem als sigstore."

Het software-ecosysteem heeft zoiets hard nodig om de toestand van de toeleveringsketen te rapporteren. Ik stel me voor dat we, nu sigstore alle vragen over softwarebronnen en eigendom beantwoordt, de vragen kunnen gaan stellen over softwarebestemmingen, consumenten, naleving (wettelijk en anderszins), om criminele netwerken te identificeren en kritieke software-infrastructuur te beveiligen

Verwant: Hoe u snel en gratis SSL op uw site kunt instellen met Let's Encrypt

Bescherming van kwetsbare softwareontwikkelaars

Het sigstore-project van de Linux Foundation vestigt de aandacht op een kwetsbaar gebied voor softwareontwikkelaars. Momenteel ondertekenen zeer weinig projecten actief software-artefacten. Het is tijdrovend, vereist extra beheer en de tijd kan vaak beter ergens anders worden besteed - dit in plaats van het omgaan met complexe mechanismen voor sleutelbeheer.

Verwant: De mythes over HTTPS- en SSL-certificaten die u niet zou moeten geloven

Momenteel kiezen veel ontwikkelaars voor de gemakkelijkste optie, door cruciale coderingssleutels te verbergen in leesmij-bestanden of andere kwetsbare plaatsen. Het gebruik van potentieel gemakkelijk toegankelijke bestanden die geen bescherming bieden, is een recept voor een ramp, zoals blijkt uit de verschillende GitHub- en Bitbucket-inbreuken door de jaren heen.

sigstore zou het dan op zijn minst een beetje gemakkelijker moeten maken om coderingssleutels voor softwareprojecten te beheren, waardoor ontwikkelaars de vrijheid krijgen om door te gaan met de stukjes werk die ze echt leuk vinden.

HTTPS instellen op uw site: een eenvoudige handleiding

Google markeert websites als "niet veilig" als ze geen HTTPS gebruiken. Wilt u geen verkeer naar uw site verliezen? Stel SSL vandaag nog in!

Over de auteur