Die Linux Foundation startet sigstore, einen neuen Software-Signaturdienst

Die Linux Foundation startet ihre neue Sigstore Projekt zur Verbesserung der Sicherheit und des Schutzes aller Aspekte der Software-Lieferkette. Mit dem neuen Projekt können Entwickler bestimmte Aspekte ihres Entwicklungsprozesses signieren und sicherstellen, dass Dateien und andere Assets eine starke, manipulationssichere Verschlüsselung aufweisen.

Sigstore zum Schutz von Software-Ursprüngen

Die Linux Foundation Sigstore ist ein kostenloser, gemeinnütziger Software-Signaturdienst für gemeinnützige Zwecke, der vorhandene Schlüsseltechnologien verwendet, um die Lieferketten für die Softwareentwicklung besser zu schützen.

Es werden auch transparente Protokollierungstechnologien verwendet, um die Rückverfolgung von "Herkunft, Integrität und Auffindbarkeit "der Software-Lieferkette, die es sowohl Projektbesitzern als auch Mitwirkenden erleichtert, Vertrauen zu schenken und Änderungen überwachen.

Kurz gesagt, Sigstore könnte Softwareentwicklern eine benutzerfreundlichere und kostenlose Option zum Schutz der wichtigen Dateien bieten, die mit einem Projekt verbunden sind. Entwickler können Sigstore verwenden, um Release-Dateien, Binärdateien, Manifeste, Dokumente, Protokolle und mehr zu signieren.

Nach der Unterzeichnung werden die Details einem "manipulationssicheren öffentlichen Protokoll" hinzugefügt, das als "manipulationssicheres öffentliches Protokoll" bezeichnet wird rekor, die auch die Linux Foundation entwickelt hat.

Benutzer sind anfällig für verschiedene gezielte Angriffe sowie für Kompromisse bei Konten und kryptografischen Schlüsseln. Insbesondere Schlüssel sind eine Herausforderung für Software-Betreuer. Projekte müssen häufig eine Liste der aktuell verwendeten Schlüssel führen und die Schlüssel von Personen verwalten, die nicht mehr zu einem Projekt beitragen.

Santiago Torres-Arias, Assistenzprofessor für Elektrotechnik und Informationstechnik an der Universität von Purdue, ist "sehr aufgeregt über die Aussichten eines Systems wie Sigstore".

Das Software-Ökosystem benötigt dringend so etwas, um den Zustand der Lieferkette zu melden. Ich stelle mir vor, dass wir mit der Beantwortung aller Fragen zu Softwarequellen und -besitz durch Sigstore anfangen können, Fragen zu stellen Software-Ziele, Verbraucher, Compliance (legal und anderweitig), um kriminelle Netzwerke zu identifizieren und kritische Software-Infrastrukturen zu sichern

Verbunden: So richten Sie SSL auf Ihrer Site schnell und kostenlos mit Let's Encrypt ein

Schutz gefährdeter Softwareentwickler

Das Sigstore-Projekt der Linux Foundation macht auf einen gefährdeten Bereich für Softwareentwickler aufmerksam. Derzeit signieren nur sehr wenige Projekte aktiv Software-Artefakte. Es ist zeitaufwändig, erfordert zusätzliches Management und die Zeit wird oft besser an anderer Stelle verbracht - anstatt sich mit komplexen Schlüsselverwaltungsmechanismen zu befassen.

Verbunden: Die Mythen über HTTPS- und SSL-Zertifikate, die Sie nicht glauben sollten

Derzeit entscheiden sich viele Entwickler für die einfachste Option, bei der kritische Verschlüsselungsschlüssel in Readme-Dateien oder anderen anfälligen Stellen versteckt werden. Die Verwendung potenziell leicht zugänglicher Dateien ohne Schutz ist ein Rezept für eine Katastrophe, wie bei den verschiedenen GitHub- und Bitbucket-Verstößen im Laufe der Jahre zu sehen ist.

sigstore sollte es daher zumindest ein bisschen einfacher machen, Verschlüsselungsschlüssel für Softwareprojekte zu verwalten, und Entwicklern die Möglichkeit geben, mit der Arbeit fortzufahren, die ihnen tatsächlich Spaß macht.

So richten Sie HTTPS auf Ihrer Site ein: Eine einfache Anleitung

Google markiert Websites als "nicht sicher", wenn sie kein HTTPS verwenden. Sie möchten keinen Traffic auf Ihre Website verlieren? Richten Sie noch heute SSL ein!

Über den Autor