Linux Foundation er i gang med at udvikle en ny kryptografisk software-signering, som udviklere kan bruge til at sikre open source-software.
Det skriver Zdnet.
Solarwinds-hacket har illustreret vigtigheden af at sikre sin forsyningskæde, og derfor tilbyder organisationen nu udviklere en måde, man sikkert kan signere software-artefakter som ‘release files’, ‘container’-billeder og binære filer. Underskriftsfilerne vil blive opbevaret i en sikker offentlig log.
Organisationen arbejder sammen med Google, Purdue University og Red Hat om projektet, man kalder Sigstore. Ifølge Luke Hinds, øverste sikkerhedsingeniør i CTO-kontoret hos Red Hat, vil løsningen bidrage til en mere sikker brug af open-source i fremtiden:
Det vil give »alle open-source-fællesskaber mulighed for at underskrive deres egen software og kombinere herkomst, integritet og synlighed for at skabe en gennemsigtig og kontrollerbar software-forsyningskæde,« siger han til Zdnet.
Historisk har det været svært at få open source-udviklere til at bruge eksisterende underskriftsværktøjer, da de typisk har forvirrende UI’er og kræver, at man lærer grundlæggende kryptografiske koncepter, ifølge Matt Sicker, medlem af Apache Software Foundation og senior sikkerhedsingeniør hos CloudBees.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
