域名频道资讯站
我们一直在努力制造惊吓

简化签名体验:Linux基金会推出sigstore软件真实性验证服务

访问:

2021阿里云上云采购季:采购补贴、充值返券、爆款抢先购

云通信分会场:爆款产品低至7.2折,短信低至0.034元/条

简化签名体验:Linux基金会推出sigstore软件真实性验证服务

(传送门:Sigstore.dev)

通过将签名材料存储在防篡改的公共日志中,Linux 基金会希望 sigstore 签名服务能够在开源软件开发领域普及开来。当前的项目创始成员,包括了红帽、谷歌、以及普渡大学。

红帽首席技术官办公室的安全工程负责人 Luke Hinds 表示:

sigstore 旨在全面覆盖凯源代码社区,允许开发者轻松地为软件提供签名。结合出处、完整性和可发现性,此举有助于营造透明且可审核的软件供应链。

在 Linux 基金会的主持合作下,我们可以加快 sigstore 的相关工作,以促进开源软件的开发、采用和行业影响力。

此前很少有开源项目使用加密签名手段,主要原因是软件维护人员在密钥管理、撤销和公钥分配等工作方面遇到了一定的挑战。

基于此,许多用户只能努力寻找受信任的密钥,并自行学习验证签名所需的步骤,更别提公钥的分发方式还存在着其它问题。

这些公钥通常存储在易受黑客攻击的网站上,甚至放置在公共 git 存储库的自述(README)文件中。

但随着 sigstore 公共服务的推出,我们可以使用临时密钥和信任根来规避上述问题(后者源于开放且可审核的公共透明日志)。

最后,谷歌开源安全团队的 Dan Lorenc 表示:sigstore 旨在让所有版本的开源软件都能够经过验证,且允许客户轻松对其展开实际验证,希望未来这一过程能能够变得更加容易。

本文素材来自互联网

赞(0)
分享到: 更多 (0)

中国专业的网站域名及网站空间提供商

买域名买空间