Linux基金會啟動SigSt店,一個新的軟體簽名服務
Linux基金會正在啟動新的sigstore項目,為軟件供應鏈的各個方面提供更好的安全和保護。新項目將使開發人員能夠在開發過程的特定方面進行簽名,確保文件和其他資產攜帶強大的防篡改加密。
sigstore保護軟件起源
Linux基金會的sigstore是一個****的非盈利公益軟件簽名服務,它將利用現有的關鍵技術更好地保護軟件開發供應鏈。
它還將使用透明的日誌記錄技術,以便更容易地跟蹤軟件供應鏈的“出處、完整性和可發現性”,從而使項目所有者和貢獻者更容易信任和監視更改。
簡而言之,sigstore可以為軟件開發人員提供一個更易於使用和免費的選項來保護與項目相關的重要文件。開發人員可以使用sigstore對發佈文件、二進制文件、清單、文檔、日誌等進行簽名。
一旦簽名,這些細節就會添加到一個名為rekor的“防篡改公共日誌”中,Linux基金會也開發了這個日誌。
Users are susceptible to various targeted attacks, along with account and cryptographic key compromise. Keys in particular are a challenge for software maintainers to manage. Projects often have to maintain a list of current keys in use, and manage the keys of individuals who no longer contribute to a project.
聖地亞哥託雷斯阿里亞斯,助理教授電氣和計算機工程,普渡大學,是“非常興奮的前景,一個系統,如sigstore。”
The software ecosystem is in dire need of something like it to report the state of the supply chain. I envision that, with sigstore answering all the questi*** about software sources and ownership, we can start asking the questi*** regarding software destinati***, c***umers, compliance (legal and otherwise), to identify criminal networks and secure critical software infrastructure
相關:如何設置SSL在您的網站上快速和免費的讓我們加密
保護易受攻擊的軟件開發人員
Linux基金會的sigstore項目正把注意力轉移到軟件開發人員易受攻擊的領域。目前,很少有項目主動簽署軟件工件。它很耗時,需要額外的管理,而且時間通常最好花在其他地方,而不是處理複雜的關鍵管理機制。
相關:關於HTTPS和SSL證書的神話你不應該相信
目前,許多開發人員選擇最簡單的方法,將關鍵的加密密鑰隱藏在自述文件或其他易受攻擊的地方。使用可能容易訪問但缺乏保護的文件會導致災難,多年來各種GitHub和Bitbucket漏洞就是一個例子。
因此,sigstore至少應該讓軟件項目的加密密鑰管理變得更容易一些,讓開發人員可以繼續他們真正喜歡的工作。
- 發表於 2021-03-11 00:30
- 閱讀 ( 48 )
- 分類:網際網路
你可能感興趣的文章
3種在linux上模擬android應用程式的方法
...(在“Android Apps”類別下),當你點選它時,應用程式就會啟動。Shashlik的啟動時間明顯比Anbox長,因為它實際上是在啟動一個合適的VM: ...
如何在linux上安裝軟體:軟體包格式說明
...裝軟體比在Windows上安裝更接近智慧**。大多數情況下,你會啟動一個包管理器(類似於應用程式商店)並搜尋你想要的應用程式的名稱。從這裡開始,只需點選安裝按鈕。 ...
當你的ubuntulinux電腦無法啟動時,如何修復它
... 簡而言之,Ubuntu在安裝後不會啟動,因為磁碟仍然存在。因此,請彈出磁碟,並確保選擇了正確的引導裝置。 ...
6個免費的雜湊檢查程式來檢查任何檔案的完整性
當您線上下載檔案時,系統會向您提供一個檔案雜湊來檢查檔案的完整性。不管是對是錯,大多數人忽略了檔案雜湊驗證,假設檔案是惡意的,網站所有者會意識到並將其刪除。或者他們的防毒軟體會在可疑下載執行之前將其踩...
什麼是程式碼簽名惡意軟體?如何避免它?
程式碼簽名是對一個軟體進行加密簽名的實踐,這樣作業系統及其使用者就可以驗證它是安全的。一般來說,程式碼簽名工作得很好。大多數情況下,只有正確的軟體才使用相應的加密簽名。 ...
7個新的raspbian功能開始在你的raspberry pi上使用
... 很久以前,Raspberry Pi基金會推出了Pi Store,這是Raspbian基於瀏覽器的應用商店。在裡面,你可以找到適合在Raspberry Pi上執行的軟體,從流行的第三方應用到業餘創作。 ...
用8個免費的安全工具保護你的mac電腦
... “請勿打擾”安裝了一個持久啟動程序,該程序記錄所有已知的“蓋子開啟”事件,可以選擇傳送警報或執行自定義操作。與iOS配套應用程式配合使用效果最佳,允許你採取迴避行動,如使用網路攝像...
如何對microsoft word文件進行數字簽名
... 啟動預覽以在mac上籤署pdf ...
如何在啟動時用systemd執行linux程式
...l進行控制 能夠寫日記 建立服務程式 我們需要一個systemd會啟動的程式。我們將建立一個簡單的指令碼,稱為“htg.sh公司”. 本教程使用Gedit文字編輯器,但是您可以使用任何您喜歡的文字編輯器。 touch htg.sh gedit htg.sh gedit編輯...
如何在ubuntu 18.04 lts上安裝linux 5.0更新
...好。 要安裝Linux5.0以及新的X伺服器和圖形驅動程式,請啟動終端並執行以下命令。您只需將其複製貼上到終端,然後按Enter鍵: sudo apt install --install-recommends linux-generic-hwe-18.04 xserver-xorg-hwe-18.04 提示時輸入密碼,需要時鍵入“y”...
