Cyberataki wykorzystujące łańcuch dostaw oprogramowania

Jak się ustrzec przed cyberatakiem?

Data publikacji: 02.12.2021 r.

cyberatak łańcuch dostaw łańcuch dostaw oprogramowania oprogramowanie

W tradycyjnych technikach podpisywania kodu stosuje się klucze kryptograficzne, np. do weryfikacji autora i integralności zawartości repozytorium oprogramowania. Obciąża to programistów koniecznością generowania kluczy i przechowywania ich w bezpiecznym miejscu. Niektórym to obciążenie może wydawać się zbyt duże. Przestają więc podpisywać swój kod (co jest szkodliwe z punktu widzenia zabezpieczeń) albo piszą mniej kodu (co nie służy innowacyjności). Oba podejścia mają konsekwencje dla innych programistów. Obecnie dużą część oprogramowania na świecie tworzy się na zasadach otwartego źródła. Oznacza to, że każdy może taki kod wykorzystać i dostosować — w tej sytuacji kluczowe znaczenie ma kwestia pochodzenia. Dotyczy to w takim samym stopniu oprogramowania komercyjnego, które coraz częściej bazuje na publicznie dostępnym kodzie źródłowym.

Otwarte źródła

A jednak to właśnie segment otwartego źródła zaczyna być liderem w tworzeniu coraz bardziej przyjaznego dla programistów środowiska podpisywania oprogramowania. Projekt ten nosi nazwę sigstore i zastępuje klucze o długim czasie życia kluczami efemerycznymi powiązanymi z istniejącymi identyfikatorami (np. adresy e-mail i loginy do mediów [...]

Ten materiał dostępny jest dla zalogowanych użytkowników.

Załóż konto i dołącz do grona użytkowników naszego portalu!

Zaloguj się Zarejestruj się