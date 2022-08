Objavljeno: 9.8.2022 14:19

Github uvaja podpisovanje kode

Najpopularnejše spletišče za gostovanje programske kode, Microsoftov Github, bo v kratkem uvedel podporo za digitalno podpisovanje kode.

Pri tem se bodo povezali s projektom sigstore. Ta deluje v okviru fundacije Linux, med podporniki so Google, Red Hat, OpenSSF, VMWare in drugi. Ponuja odprto-kodna (in seveda brezplačna) orodja za avtomatizacijo in overitev podpisov programske kode, podobno kot projekt Let's Encrypt pri spletnih straneh (in drugih podobnih sistemih). Tako bodo uvedli podpisovanje paketov v svojem izredno priljubljenem registru »npm« za pakete JavaScript.

V zadnjih letih je namreč vse več napadov na t.i. »logistično verigo« programske kode (»supply chain attacks«). Gre za to, da napadalci v kako priljubljeno odprto-kodno knjižnico dodajo nekaj zlonamerne kode, tako okuženo knjižnico pa naložijo v katere izmed bolj priljubljenih registrov. Z digitalnim podpisovanjem bi uporabniki lahko preverili, če je paket, ki so ga prenesli, res preveden neposredno iz overjene izvorne kode.