Linux基金会推出免费代码签名服务

安全 应用安全
Linux Foundation、Red Hat、Google和Purdue近日推出了免费的“sigstore”代码签名服务,该服务使开发人员可以对开放源代码进行代码签名和验证,以防止供应链攻击。

Linux Foundation、Red Hat、Google和Purdue近日推出了免费的“sigstore”代码签名服务,该服务使开发人员可以对开放源代码进行代码签名和验证,以防止供应链攻击。

正如最近的依赖关系混淆攻击和恶意NPM软件包所展示的,越来越多的供应链攻击开始瞄准开源生态系统。

[[387292]]

攻击者将开发恶意开源程序包,并使用与流行的合法程序包相似的名称将其上传到公共存储库。如果开发人员错误地将恶意软件包包含在自己的项目中,则在开发项目时将自动执行恶意代码。

Sigstore的推出,就是为了防止此类型的攻击。“sigstore”是一种免费使用的非盈利性软件签名服务,允许开发人员对开源软件进行签名并验证其真实性。

“您可以将Sigstore看作是类似Let's Encrypt的免费HTTPS证书和自动化工具,sigstore也提供免费的证书和工具来自动化和验证源代码的签名。”谷歌在博客中介绍说:“Sigstore还支持透明日志,这意味着所有证书和证明都是全球可见、可发现和可审计的。”

Sigstore的构建基于OpenID Connect短期证书、公共透明日志和为代码签名分配的特殊Root CA证书。

参考资料:

https://security.googleblog.com/2021/03/introducing-sigstore-easy-code-signing.html

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文 

 

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2021-03-11 11:54:04

Linux自动化工具代码签名

2010-04-15 17:44:11

Linux基金会

2009-07-02 08:53:14

Linux操作系统上网本

2020-07-03 21:55:41

Linux 系统 数据

2009-12-10 15:48:06

Linux基金会

2016-11-18 09:16:53

LinuxGoogle.NET基金会

2011-04-21 10:44:06

Linux基金会雅虎

2009-09-10 09:56:52

威盛电子Linux基金会Linux

2010-05-10 15:04:51

Linux基金会

2011-04-08 10:31:24

Linux微软

2017-05-09 12:48:38

腾讯云

2022-09-13 15:03:01

LinuxPyTorch

2009-12-11 09:27:08

自由软件社区团队

2012-03-07 10:51:40

jQuery

2009-07-02 18:53:07

Linux

2010-06-30 09:05:52

Linux基金会

2017-03-09 14:30:32

VMwareLinux开源

2015-08-24 11:19:21

Linux基金会KOSP

2009-05-15 16:13:58

Linux基金会网站

2015-10-08 14:07:39

ChromebookLinuxLinux基金会
点赞
收藏

51CTO技术栈公众号