Linux基金会正在启动新的sigstore项目,为软件供应链的各个方面提供更好的安全和保护。新项目将使开发人员能够在开发过程的特定方面进行签名,确保文件和其他资产携带强大的防篡改加密。
Linux基金会的sigstore是一个****的非盈利公益软件签名服务,它将利用现有的关键技术更好地保护软件开发供应链。
它还将使用透明的日志记录技术,以便更容易地跟踪软件供应链的“出处、完整性和可发现性”,从而使项目所有者和贡献者更容易信任和监视更改。
简而言之,sigstore可以为软件开发人员提供一个更易于使用和免费的选项来保护与项目相关的重要文件。开发人员可以使用sigstore对发布文件、二进制文件、清单、文档、日志等进行签名。
一旦签名,这些细节就会添加到一个名为rekor的“防篡改公共日志”中,Linux基金会也开发了这个日志。
Users are susceptible to various targeted attacks, along with account and cryptographic key compromise. Keys in particular are a challenge for software maintainers to manage. Projects often have to maintain a list of current keys in use, and manage the keys of individuals who no longer contribute to a project.
圣地亚哥托雷斯阿里亚斯,助理教授电气和计算机工程,普渡大学,是“非常兴奋的前景,一个系统,如sigstore。”
The software ecosystem is in dire need of something like it to report the state of the supply chain. I envision that, with sigstore answering all the questi*** about software sources and ownership, we can start asking the questi*** regarding software destinati***, c***umers, compliance (legal and otherwise), to identify criminal networks and secure critical software infrastructure
相关:如何设置SSL在您的网站上快速和免费的让我们加密
Linux基金会的sigstore项目正把注意力转移到软件开发人员易受攻击的领域。目前,很少有项目主动签署软件工件。它很耗时,需要额外的管理,而且时间通常最好花在其他地方,而不是处理复杂的关键管理机制。
相关:关于HTTPS和SSL证书的神话你不应该相信
目前,许多开发人员选择最简单的方法,将关键的加密密钥隐藏在自述文件或其他易受攻击的地方。使用可能容易访问但缺乏保护的文件会导致灾难,多年来各种GitHub和Bitbucket漏洞就是一个例子。
因此,sigstore至少应该让软件项目的加密密钥管理变得更容易一些,让开发人员可以继续他们真正喜欢的工作。
... 几年后,史泰尔曼创立了自由软件基金会,并成为自由软件运动最杰出的代表。他没有创造自由软件的概念,但他提供了一个清晰的哲学和实践框架。 ...
... 自由软件基金会(Free Software Foundation)有一份名单,列出了一些公司将向你**一台没有任何封闭源代码软件痕迹的电脑。不在此列表中的计算机往往具有封闭源代码的BIOS和驱动程序...
...显示奇怪的错误消息或弹出窗口 你的电脑启动时间更长,运行速度也比平时慢 冻结或随机崩溃会影响您的计算机 web浏览器的主页已更改 web浏览器中出现奇怪或意外的工...
刚刚启动,但你的系统仍然感觉缓慢和迟钝?Linux在“后台”运行许多应用程序,您甚至可能不知道这些应用程序。下面是如何控制它们。 ...
... Libby Clark是Linux基金会的数字内容编辑,是一位经验丰富的技术记者。Clark与2000多名追随者分享Linux和以开源为中心的内容。从关于开源和合作竞争的对话到Raspberry Pi和发行版的报道,Clar...
... 组织比个人开发者更容易吸引捐款。像GNOME基金会、KDE.V、自由软件基金会和软件自由保护协会这样的组织带来了足够的捐款来运作。开源爱好者捐款来帮助一项事业,而公司有时也会捐出大笔资金来支持他们从中...
...例如,它非常轻。另外,您可以直接从Linux livecd或liveu**启动Chkrootkit。或者,使用以下命令直接从Ubuntu存储库安装Chkrootkit: ...
...导可方便地防止恶意代码在系统上运行。但它也会阻止你启动一些合法的操作系统,比如kalilinux、androidx86或TAILS。 ...