קרן לינוקס משיקה את החדש שלה sigstore פרויקט לספק אבטחה והגנה טובים יותר לכל ההיבטים של שרשרת אספקת התוכנה. הפרויקט החדש יאפשר למפתחים לחתום על היבטים ספציפיים בתהליך הפיתוח שלהם, ולהבטיח שהקבצים והנכסים האחרים נושאים הצפנה חזקה ובלתי אפשרית.
sigstore כדי להגן על מקורות התוכנה
קרן לינוקס sigstore הוא שירות חתימת תוכנה לציבור ללא מטרות רווח לשימוש חופשי, שישתמש בטכנולוגיית המפתח הקיימת בכדי להגן טוב יותר על רשתות האספקה של פיתוח תוכנה.
הוא ישתמש גם בטכנולוגיות רישום שקופות כדי להקל על המעקב אחר מקורם, שלמותו ו יכולת גילוי "של שרשרת אספקת התוכנה, מה שמקל על בעלי הפרויקטים וגם על התורמים אמון ו לפקח על שינויים.
בקיצור, sigstore תוכל לספק למפתחי תוכנה אפשרות קלה יותר לשימוש וחינמי להגנה על הקבצים החשובים המשויכים לפרויקט. מפתחים יכולים להשתמש ב- sigstore כדי לחתום על קבצי שחרור, קבצים בינאריים, מניפסטים, מסמכים, יומנים ועוד.
לאחר החתימה, הפרטים מתווספים ל"יומן ציבורי עמיד בפני חבלה "המכונה רקור, שפיתחה גם קרן לינוקס.
המשתמשים רגישים להתקפות ממוקדות שונות, לצד פגיעה בחשבון ובמפתח הצפנה. מפתחות במיוחד הם אתגר לניהול של שומרי תוכנה. לעתים קרובות פרויקטים צריכים לשמור על רשימת המפתחות הנוכחיים בשימוש ולנהל את המפתחות של אנשים שכבר לא תורמים לפרויקט.
סנטיאגו טורס-אריאס, עוזר פרופסור להנדסת חשמל ומחשבים, אוניברסיטת פורדו, "מתרגש מאוד מהסיכוי של מערכת כמו sigstore."
המערכת האקולוגית של התוכנה זקוקה מאוד למשהו כמוה כדי לדווח על מצב שרשרת האספקה. אני חוזה שכאשר sigstore עונה על כל השאלות אודות מקורות תוכנה ובעלות, נוכל להתחיל לשאול את השאלות הנוגעות יעדי תוכנה, צרכנים, תאימות (חוקית ואחרת), לזיהוי רשתות פליליות ואבטחת תשתית תוכנה קריטית
קָשׁוּר: כיצד להתקין SSL באתר שלך במהירות ובחינם באמצעות בואו להצפין
הגנה על מפתחי תוכנה פגיעים
פרויקט ה- sigstore של קרן לינוקס מביא תשומת לב לאזור פגיע עבור מפתחי תוכנה. נכון לעכשיו, מעט מאוד פרויקטים חותמים באופן פעיל על חפצי תוכנה. זה גוזל זמן, דורש ניהול נוסף, ולרוב מבלים את הזמן טוב יותר במקום אחר - זה, במקום להתמודד עם מנגנוני ניהול מפתח מורכבים.
קָשׁוּר: המיתוסים על HTTPS ואישורי SSL שלא אמורים להאמין בהם
נכון לעכשיו, מפתחים רבים בוחרים באפשרות הקלה ביותר האפשרית, ומסתירים מפתחות הצפנה קריטיים בקבצי readme או במקומות פגיעים אחרים. שימוש בקבצים שעלולים להיות נגישים בקלות וחסר הגנה הוא מתכון לאסון, כפי שנראה עם הפרות שונות של GitHub ו- Bitbucket לאורך השנים.
אם כן, sigstore אמורה להקל על ניהול המפתחות הצפנה לפחות עבור פרויקטים של תוכנה, ולפנות מפתחים להמשיך עם חלקי העבודה שהם באמת נהנים מהם.
גוגל מסמנת אתרים כ"לא מאובטחים "אם הם לא משתמשים ב- HTTPS. לא רוצה לאבד תנועה לאתר שלך? הגדר SSL היום!
- לינוקס
- חדשות טק
- הצפנה
- פיתוח משחק
גאווין הוא העורך הצעיר של Windows ו- Technology Explained, תורם באופן קבוע לפודקאסט היעיל באמת, והיה העורך של אתר האחיות הממוקד בקריפטו של MakeUseOf, Blocks Decoded. יש לו תואר ראשון (Hons) בכתיבה עכשווית עם תרגולים לאמנות דיגיטלית שנשדדה מגבעות דבון, כמו גם מעל עשור של ניסיון מקצועי בכתיבה. הוא נהנה מכמויות גדולות של תה, משחקי חברה וכדורגל.
הירשם לניוזלטר שלנו
הצטרף לניוזלטר שלנו לקבלת טיפים טכניים, ביקורות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!
צעד אחד נוסף !!!
אנא אשר את כתובת הדוא"ל שלך בדוא"ל ששלחנו לך זה עתה.