亚洲国产精品看片在线观看,一级片在线视频,www.heyzo

Linux基金會推出免費代碼簽名服務

責編：gltian ｜2021-03-16 11:01:56

Linux Foundation、Red Hat、Google和Purdue近日推出了免費的“sigstore”代碼簽名服務，該服務使開發人員可以對開放源代碼進行代碼簽名和驗證，以防止供應鏈攻擊。

正如最近的依賴關系混淆攻擊和惡意NPM軟件包所展示的，越來越多的供應鏈攻擊開始瞄準開源生態系統。

攻擊者將開發惡意開源程序包，并使用與流行的合法程序包相似的名稱將其上傳到公共存儲庫。如果開發人員錯誤地將惡意軟件包包含在自己的項目中，則在開發項目時將自動執行惡意代碼。

Sigstore的推出，就是為了防止此類型的攻擊?！皊igstore”是一種免費使用的非盈利性軟件簽名服務，允許開發人員對開源軟件進行簽名并驗證其真實性。

“您可以將Sigstore看作是類似Let’s Encrypt的免費HTTPS證書和自動化工具，sigstore也提供免費的證書和工具來自動化和驗證源代碼的簽名。”谷歌在博客中介紹說：“Sigstore還支持透明日志，這意味著所有證書和證明都是全球可見、可發現和可審計的?！?/p>

Sigstore的構建基于OpenID Connect短期證書、公共透明日志和為代碼簽名分配的特殊Root CA證書。

參考資料

https://security.googleblog.com/2021/03/introducing-sigstore-easy-code-signing.html