Linux Foundation випустила відкрите ПЗ для криптографічних підписів

1 хв. читання

Linux Foundation, Google, Red Hat та Університет Пердью представили новий сервіс для криптографічних підписів — Sigstore. Ним можуть скористатись розробники, щоб захистити свої проєкти з відкритим кодом.

Криптографічний підпис пов'язується з певним цифровим артефактом — файлами релізів, контейнерними образами й бінарними файлами. Тоді користувачі ПЗ можуть перевірити підпис коду та переконатися, що цей реліз справжній і його ніхто не змінював.

Sigstore розробили як безкоштовний і некомерційний сервіс. Інженер з команди Google каже, що багато у чому це схоже на підхід Apple і Microsoft до підписання коду. Розробники намагались поєднати це із методом Let's Encrypt, який спрацьовує автоматично і надає ключі з коротким терміном дії.

Для прикладу можна уявити розробника, який створює застосунок у Node.js і хоче опублікувати його в реєстрі npm. Потрібно запустити команду для підпису застосунку, тоді відкриється браузер і можна завершити процес автентифікації OpenID Connect (OIDC) та двофакторну перевірку — щоб отримати авторизаційний токен. Сертифікат автоматично видається на електронну пошту, прив'язану до OIDC, а тоді завантажується в npm.

Помітили помилку? Повідомте автору, для цього достатньо виділити текст з помилкою та натиснути Ctrl+Enter
Codeguida 5.8K
Приєднався: 8 місяців тому
Коментарі (0)

    Ще немає коментарів

Щоб залишити коментар необхідно авторизуватися.

Вхід / Реєстрація