Linux Foundation lanserar sitt nya sigstore projekt för att ge bättre säkerhet och skydd för alla aspekter av programvarukedjan. Det nya projektet gör det möjligt för utvecklare att underteckna specifika aspekter av deras utvecklingsprocess, vilket säkerställer att filer och andra tillgångar har stark, manipuleringssäker kryptering.
sigstore till Protect Software Origins
Linux Foundation sigstore är en kostnadsfri, icke-vinstdrivande public good service-signeringstjänst som kommer att använda befintlig nyckelteknologi för att skydda leverantörskedjor för programvara bättre.
Det kommer också att använda transparent loggningsteknik för att göra det lättare att spåra "härkomst, integritet och programvaruförsörjningskedjan, vilket gör det lättare för både projektägare och bidragsgivare att lita på och övervaka förändringar.
Kort sagt kan sigstore ge programutvecklare ett lättare att använda och gratis alternativ för att skydda viktiga filer som är associerade med ett projekt. Utvecklare kan använda sigstore för att signera release-filer, binärer, manifest, dokument, loggar och mer.
När de väl har undertecknats läggs detaljerna till i en "manipuleringsresistent allmän logg" som kallas rekor, som Linux Foundation också har utvecklat.
Användare är mottagliga för olika riktade attacker, tillsammans med kompromiss mellan konto och kryptografisk nyckel. Nycklar i synnerhet är en utmaning för programvaruunderhållare att hantera. Projekt måste ofta ha en lista över aktuella nycklar som används och hantera nycklarna för individer som inte längre bidrar till ett projekt.
Santiago Torres-Arias, biträdande professor i elektroteknik och datateknik, University of Purdue, är "mycket upphetsad över utsikterna för ett system som sigstore."
Programvaruekosystemet har ett stort behov av något liknande för att rapportera tillståndet i försörjningskedjan. Jag föreställer mig att vi, med sigstore som svarar på alla frågor om programvarukällor och ägande, kan börja ställa frågorna angående mjukvarudestinationer, konsumenter, överensstämmelse (lagligt och på annat sätt), för att identifiera kriminella nätverk och säkra kritisk programvaruinfrastruktur
Relaterad: Hur du konfigurerar SSL på din webbplats snabbt och gratis med Låt oss kryptera
Skydd av sårbara programutvecklare
Linux Foundation's sigstore-projekt väcker uppmärksamhet åt ett sårbart område för programutvecklare. För närvarande signerar mycket få projekt aktivt programvaruartiklar. Det är tidskrävande, kräver extra hantering och tiden spenderas ofta bättre någon annanstans - detta snarare än att hantera komplexa nyckelhanteringsmekanismer.
Relaterad: Myterna om HTTPS och SSL-certifikat som du inte borde tro
För närvarande väljer många utvecklare det enklaste alternativet, döljer kritiska krypteringsnycklar i readme-filer eller andra utsatta platser. Att använda potentiellt lättillgängliga filer som saknar skydd är ett recept på katastrof, vilket ses med de olika GitHub- och Bitbucket-överträdelserna genom åren.
sigstore bör då göra det åtminstone lite enklare att hantera krypteringsnycklar för programvaruprojekt, vilket frigör utvecklare att fortsätta med de bitar av arbete de faktiskt tycker om.
Google markerar webbplatser som "inte säkra" om de inte använder HTTPS. Vill du inte förlora trafik till din webbplats? Ställ in SSL idag!
- Linux
- Tekniska nyheter
- Kryptering
- Spelutveckling
Gavin är Junior Editor för Windows och Technology Explained, en regelbunden bidragsgivare till den riktigt användbara podcasten och var redaktör för MakeUseOfs kryptofokuserade systersida, Blocks Decoded. Han har en BA (Hons) samtida skrivning med digital konstpraxis som plundras från Devons kullar, samt över ett decennium av professionell skriverfarenhet. Han gillar stora mängder te, brädspel och fotboll.
Prenumerera på vårt nyhetsbrev
Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!
Ett steg till…!
Bekräfta din e-postadress i e-postmeddelandet som vi just skickade till dig.