Linux基金会推出免费代码签名服务

Linux基金会推出免费代码签名服务

黑客专题访客2021-10-11 7:32:003172A+A-

Linux Foundation、Red Hat、Google和Purdue近日推出了免费的“sigstore”代码签名服务,该服务使开发人员可以对开放源代码进行代码签名和验证,以防止供应链攻击。

正如最近的依赖关系混淆攻击和恶意NPM软件包所展示的,越来越多的供应链攻击开始瞄准开源生态系统。

攻击者将开发恶意开源程序包,并使用与流行的合法程序包相似的名称将其上传到公共存储库。如果开发人员错误地将恶意软件包包含在自己的项目中,则在开发项目时将自动执行恶意代码。

Sigstore的推出,就是为了防止此类型的攻击。“sigstore”是一种免费使用的非盈利性软件签名服务,允许开发人员对开源软件进行签名并验证其真实性。

“您可以将Sigstore看作是类似Let’s Encrypt的免费HTTPS证书和自动化工具,sigstore也提供免费的证书和工具来自动化和验证源代码的签名。”谷歌在博客中介绍说:“Sigstore还支持透明日志,这意味着所有证书和证明都是全球可见、可发现和可审计的。”

Sigstore的构建基于OpenID Connect短期证书、公共透明日志和为代码签名分配的特殊Root CA证书。

参考资料

https://security.googleblog.com/2021/03/introducing-sigstore-easy-code-signing.html

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 南殷不矜2022-05-30 13:27:29
  • Linux Foundation、Red Hat、Google和Purdue近日推出了免费的“sigstore”代码签名服务,该服务使开发人员可以对开放源代码进行代码签名和验证,以防止供应链攻击。正如最近的依赖关系混淆攻击和恶意NPM
  • 寻妄千纥2022-05-30 15:04:33
  • 绍说:“Sigstore还支持透明日志,这意味着所有证书和证明都是全球可见、可发现和可审计的。”Sigstore的构建基于OpenID Connect短期证书、公共透明日志和为代码签名分配的特殊Ro

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理