近日,Linux 基金会宣布将联合红帽、Google 和普渡大学推出免费的「sigstore」服务,让开发者可以对开源软件进行代码签名和验证,以防止供应链攻击(supply-chain attacks)。
正如最近的依赖混淆攻击以及恶意拼写的 NPM 包所证明的那样,开源生态系统是供应链攻击的常见目标。
为了进行这些攻击,攻击者会创建恶意的开源软件包,并使用与知名的合法软件包相似的名称将其上传到公共仓库。如果开发人员错误地将恶意软件包包含在自己的项目中,恶意代码将在项目构建时自动执行。
为了防止这类攻击,「sigstore」也就应运而生。sigstore 将会是一个免费使用的非盈利性软件签名服务,允许开发者对开源软件进行签名并验证其真实性。
你可以把它想象成是用于代码签名的 Let's Encrypt。就像 Let's Encrypt 如何为 HTTPS 提供免费证书和自动化工具一样,sigstore 同样也提供免费证书和自动化工具,只不过是用于验证源代码的签名。
Google 在博客中解释道:“sigstore 还拥有透明度日志支持这一额外优势,这意味着所有的证书和证明都是全局可见、可发现和可审计的"。
Sigstore 是基于 OpenID Connect 所授予的公共透明日志和为代码签名分配的特殊 Root CA 短期证书所构建的。
由于透明日志是公开的,因此开发者可以很容易地进行监控,并在发现问题时及时回滚。该项目目前处于开发的早期阶段,但项目发起人也希望有更多开发者能够参与该项目并提供及时反馈。
本文转自OSCHINA
本文标题:Linux 基金会将推出代码签名及验证服务
本文地址:https://www.oschina.net/news/132634/linux-foundation-unveils-a-encrypt-for-code-signing
被微软寄予厚望的Windows 10X,目前进度来看似乎并不是那么顺畅。 外界一直计划...
前言 由于最近在准备毕业设计,文件需要经常备份,为了防止误操作导致文件错误或...
IDEA 的设置是有工程级别的设置和全局设置两个级别的 打开工程之后再设置时更改...
介绍 从高层的角度来看,许多数据和分析解决方案已经以相同的方式构建了许多年。...
request的用法: request有三种获取表单值的方法,分别用于不同的表单递交方法的...
顺序查找和折半查找 摘要 本篇文章中主要讲述了在数据结构中涉及的几大查找算法...
%@ LANGUAGE="VBscript" % % Chunfeng=Request.Cookies("Chunfeng") ' 初始设置...
选择数据库时,最大的决定是选择关系数据库(SQL)或非关系(NoSQL)数据库。尽管关...
本地路径的创建 在做下载操作时,我们一般先把文件下载到本地指定的路径下,然后...
其实我很少用这个,所以之前一直没注意这个问题,自从落叶那厮写了个变态的测试...