A Sigstore, que é apoiada pelo Google, Red Hat, GitHub e outras organizações proeminentes com o objetivo de proteger a cadeia de suprimentos de software de código aberto, alcançou a disponibilidade geral e emitiu as versões "v1.0" para seus principais componentes de software.
Esta semana a Sigstore comemorou seu marco de disponibilidade geral e lançou o software v1.0 de seu log de transparência Rekor e o software de autoridade de certificação Fulcio. A Sigstore agora se considera de nível de produção para assinatura e verificação de artefatos de software.
A Sigstore fornece meios fáceis e criptográficos de assinatura de código, verificação de assinaturas usando um log de transparência e monitoramento de atividades para verificar com segurança a cadeia de suprimentos de software. No site do projeto sigstore.dev , a Sigstore se descreve como:
sigstore é um conjunto de ferramentas que desenvolvedores, mantenedores de software, gerenciadores de pacotes e especialistas em segurança podem se beneficiar. Reunindo tecnologias de código aberto de uso gratuito como Fulcio, Cosign e Rekor, ele lida com assinatura digital, verificação e verificações de proveniência necessárias para tornar mais seguro distribuir e usar software de código aberto.
Uma abordagem padronizada
Isso significa que o software de código aberto carregado para distribuição tem uma maneira mais rígida e padronizada de verificar quem está envolvido, que não foi adulterado. Não há risco de comprometimento de chave, portanto, terceiros não podem sequestrar uma versão e inserir algo malicioso.
Aqueles que desejam saber mais sobre a disponibilidade geral da Sigstore esta semana podem ler mais informações sobre ela no do Google Open Source Blog e no Sigstore blog .
Até a próxima !!
Nenhum comentário:
Postar um comentário