Objavljeno: 9.8.2022 14:19 | Teme: programiranje, varnost

Github uvaja podpisovanje kode

Najpopularnejše spletišče za gostovanje programske kode, Microsoftov Github, bo v kratkem uvedel podporo za digitalno podpisovanje kode.

Pri tem se bodo povezali s projektom sigstore. Ta deluje v okviru fundacije Linux, med podporniki so Google, Red Hat, OpenSSF, VMWare in drugi. Ponuja odprto-kodna (in seveda brezplačna) orodja za avtomatizacijo in overitev podpisov programske kode, podobno kot projekt Let's Encrypt pri spletnih straneh (in drugih podobnih sistemih). Tako bodo uvedli podpisovanje paketov v svojem izredno priljubljenem registru »npm« za pakete JavaScript.

V zadnjih letih je namreč vse več napadov na t.i. »logistično verigo« programske kode (»supply chain attacks«). Gre za to, da napadalci v kako priljubljeno odprto-kodno knjižnico dodajo nekaj zlonamerne kode, tako okuženo knjižnico pa naložijo v katere izmed bolj priljubljenih registrov. Z digitalnim podpisovanjem bi uporabniki lahko preverili, če je paket, ki so ga prenesli, res preveden neposredno iz overjene izvorne kode.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji