Linux Foundation Meluncurkan sigstore, Layanan Penandatanganan Perangkat Lunak Baru

Linux Foundation meluncurkan yang baru sigstore.dll proyek untuk memberikan keamanan dan perlindungan yang lebih baik untuk semua aspek rantai pasokan perangkat lunak. Proyek baru ini akan memungkinkan pengembang untuk menandatangani aspek spesifik dari proses pengembangan mereka, memastikan bahwa file dan aset lainnya membawa enkripsi yang kuat dan tahan gangguan.

sigstore untuk Melindungi Asal Perangkat Lunak

Yayasan Linux sigstore.dll adalah layanan penandatanganan perangkat lunak barang publik nirlaba gratis untuk digunakan yang akan menggunakan teknologi utama yang ada untuk melindungi rantai pasokan pengembangan perangkat lunak dengan lebih baik.

Ini juga akan menggunakan teknologi logging transparan untuk membuatnya lebih mudah untuk melacak "asal, integritas, dan dapat ditemukannya "dari rantai pasokan perangkat lunak, sehingga memudahkan pemilik proyek dan kontributor untuk mempercayai dan pantau perubahan.

Singkatnya, sigstore dapat memberi pengembang perangkat lunak opsi yang lebih mudah digunakan dan gratis untuk melindungi file penting yang terkait dengan suatu proyek. Pengembang dapat menggunakan sigstore untuk menandatangani file rilis, biner, manifes, dokumen, log, dan lainnya.

Setelah ditandatangani, detailnya ditambahkan ke "log publik yang tahan gangguan" yang dikenal sebagai rekaman, yang juga dikembangkan oleh Linux Foundation.

Pengguna rentan terhadap berbagai serangan yang ditargetkan, bersama dengan penyusupan akun dan kunci kriptografik. Kunci khususnya merupakan tantangan untuk dikelola oleh pengelola perangkat lunak. Proyek sering kali harus memelihara daftar kunci saat ini yang digunakan, dan mengelola kunci individu yang tidak lagi berkontribusi pada proyek.

Santiago Torres-Arias, Asisten Profesor Teknik Elektro dan Komputer, Universitas Purdue, "sangat senang dengan prospek sistem seperti sigstore."

Ekosistem perangkat lunak sangat membutuhkan sesuatu seperti itu untuk melaporkan keadaan rantai pasokan. Saya membayangkan bahwa, dengan sigstore menjawab semua pertanyaan tentang sumber dan kepemilikan perangkat lunak, kami dapat mulai mengajukan pertanyaan terkait tujuan perangkat lunak, konsumen, kepatuhan (legal dan lainnya), untuk mengidentifikasi jaringan kriminal dan mengamankan infrastruktur perangkat lunak penting

Terkait: Cara Mengatur SSL di Situs Anda dengan Cepat dan Gratis Dengan Let's Encrypt

Melindungi Pengembang Perangkat Lunak yang Rentan

Proyek sigstore Linux Foundation membawa perhatian ke area yang rentan bagi para pengembang perangkat lunak. Saat ini, sangat sedikit proyek yang secara aktif menandatangani artefak perangkat lunak. Ini memakan waktu, membutuhkan manajemen ekstra, dan waktu tersebut seringkali lebih baik dihabiskan di tempat lain — ini, daripada berurusan dengan mekanisme manajemen kunci yang kompleks.

Terkait: Mitos Tentang HTTPS dan Sertifikat SSL yang Tidak Harus Anda Percayai

Saat ini, banyak pengembang memilih opsi termudah, menyembunyikan kunci enkripsi penting dalam file readme atau tempat rentan lainnya. Menggunakan file yang berpotensi mudah diakses yang tidak memiliki perlindungan adalah resep untuk bencana, seperti yang terlihat dengan berbagai pelanggaran GitHub dan Bitbucket selama bertahun-tahun.

sigstore, kemudian, harus membuatnya setidaknya sedikit lebih mudah untuk mengelola kunci enkripsi untuk proyek perangkat lunak, membebaskan pengembang untuk melanjutkan pekerjaan yang benar-benar mereka nikmati.

Cara Mengatur HTTPS di Situs Anda: Panduan Sederhana

Google menandai situs web sebagai "tidak aman" jika mereka tidak menggunakan HTTPS. Tidak ingin kehilangan lalu lintas ke situs Anda? Siapkan SSL hari ini!

Tentang Penulis