document/TranslateProject
2
0
Fork 0
mirror of https://github.com/LCTT/TranslateProject.git synced 2024-12-26 21:30:55 +08:00
Code Issues Packages Projects Releases Wiki Activity

Update 20220809 Github Takes Action To Prevent Supply Chain Attacks On Open Source.md

Browse Source 
翻译格式修改
This commit is contained in:
zhaoxu_Lee 2022-08-19 10:37:49 +08:00 committed by GitHub
parent fab260c3b1
commit 9640166df4
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23
1 changed files with 9 additions and 9 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

18
translated/news/20220809 Github Takes Action To Prevent Supply Chain Attacks On Open Source.md
View File

@ -7,21 +7,21 @@
[#]: publisher: " "
[#]: url: " "
为防止对开源供应链的攻击Github在行动
为防止对开源供应链的攻击Github 在行动
======
2020年“SolarWinds”网络间谍活动之后一系列进一步的软件供应链漏洞突显了确保软件监管链安全的必要性。在这场间谍活动中俄罗斯黑客渗透到一个广泛使用的IT管理平台并将受污染的升级产品悄悄带入其中。由于开源项目从根本上来说是分散的而且经常是临时的活动因此在这种背景下这个问题尤其紧迫。GitHub著名的“npm”注册表中广泛使用的JavaScript软件包遭到一系列令人不安的黑客攻击后,该公司本周公布了一项战略,以提供更好的开源安全保护。
2020 年「SolarWinds」网络间谍活动之后一系列进一步的软件供应链漏洞突显了确保软件监管链安全的必要性。在这场间谍活动中俄罗斯黑客渗透到一个广泛使用的IT管理平台并将受污染的升级产品悄悄带入其中。由于开源项目从根本上来说是分散的而且经常是临时的活动因此在这种背景下这个问题尤其紧迫。GitHub 著名的 npm 注册表中广泛使用的 JavaScript 软件包遭到一系列令人不安的黑客攻击后,该公司本周公布了一项战略,以提供更好的开源安全保护。
代码签名平台Sigstore将由微软旗下的GitHub支持以用于npm软件包。代码签名类似于数字蜡封。为了让开源维护者更加容易地确认他们编写的代码是否与全球范围内人们实际下载的软件包中最终包含的代码相同跨行业协作促成了该工具的创建。
代码签名平台 Sigstore 将由微软旗下的 GitHub 支持,以用于 npm 软件包。代码签名类似于数字蜡封。为了让开源维护者更加容易地确认他们编写的代码是否与全球范围内人们实际下载的软件包中最终包含的代码相同,跨行业协作促成了该工具的创建。
GitHub并不是开源生态系统的唯一组成部分但Sigstore的联合开发者、Chainguard的首席执行官Dan Lorenc指出它是社区的一个重要枢纽因为绝大多数项目都在这里存储和共享源代码。然而当开发人员真正想下载开源软件或工具时他们通常会访问包管理。
GitHub 并不是开源生态系统的唯一组成部分,但 Sigstore 的联合开发者、Chainguard 的首席执行官 Dan Lorenc 指出,它是社区的一个重要枢纽,因为绝大多数项目都在这里存储和共享源代码。然而,当开发人员真正想下载开源软件或工具时,他们通常会访问包管理。
通过让包管理器可以使用Sigstore开发人员可以在Sigstore工具的帮助下在软件通过供应链时处理加密检查和要求。这增加了产品流通过程中每个阶段的透明度。Lorenc说许多人惊讶地发现这些完整性检查还没有实施开源生态系统中相当大的一部分长期以来一直依赖于盲目的信心。拜登政府于2021年5月发布了一项行政命令主要处理软件供应链安全问题。
通过让包管理器可以使用 Sigstore开发人员可以在 Sigstore 工具的帮助下在软件通过供应链时处理加密检查和要求。这增加了产品流通过程中每个阶段的透明度。Lorenc 说,许多人惊讶地发现,这些完整性检查还没有实施,开源生态系统中相当大的一部分长期以来一直依赖于盲目的信心。拜登政府于 2021 5 月发布了一项行政命令,主要处理软件供应链安全问题。
Linux基金会、Google、Red Hat、Purdue University和Chainguard都对Sigstore的开发做出了贡献。现在有了使用Sigstore为Python包发行版签名的官方软件而且开发软件的开源环境Kubernetes现在也支持它。
Linux 基金会、Google、Red Hat、Purdue Universit 和 Chainguard 都对 Sigstore 的开发做出了贡献。现在有了使用 Sigstore 为 Python 包发行版签名的官方软件,而且开发软件的开源环境 Kubernetes 现在也支持它。
Sigstore依靠免费和简单易用来鼓励采用就像主要行业推动HTTPS网络加密一样这在很大程度上是由非营利互联网安全研究集团(Internet Security Research Group)的Lets Encrypt等工具实现的。据Github称该项目会首先提出Sigstore将如何在npm中实现的建议,并在开放评论期征求社区人员对该工具的精确部署策略的意见。然而,最终的目标是让这样的代码签名能够被尽可能多的开源项目使用,从而实现对供应链的攻击。
Sigstore 依靠免费和简单易用来鼓励采用,就像主要行业推动 HTTPS 网络加密一样,这在很大程度上是由非营利互联网安全研究集团Internet Security Research Group的 Lets Encrypt 等工具实现的。据 Github 称,该项目会首先提出 Sigstore 将如何在 npm 中实现的建议,并在开放评论期征求社区人员对该工具的精确部署策略的意见。然而,最终的目标是让这样的代码签名能够被尽可能多的开源项目使用,从而实现对供应链的攻击。
GitHub的Hutchings说我们希望看到这样一个世界最终所有的软件工件都被签名并链接回源代码这就是为什么构建像Sigstore这样的开放技术栈是如此重要其他打包存储库也可以采用这种技术。
GitHub 的 Hutchings 说「我们希望看到这样一个世界,最终所有的软件工件都被签名并链接回源代码,这就是为什么构建像 Sigstore 这样的开放技术栈是如此重要,其他打包存储库也可以采用这种技术。
--------------------------------------------------------------------------------
@ -29,7 +29,7 @@ via: https://www.opensourceforu.com/2022/08/github-takes-action-to-prevent-suppl
作者:[Laveesh Kocher][a]
选题:[lkxed][b]
译者:[lzx916](https://github.com/译者ID)
译者:[lzx916](https://github.com/lzx916)
校对:[校对者ID](https://github.com/校对者ID)
本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创编译,[Linux中国](https://linux.cn/) 荣誉推出