document/TranslateProject
2
0
Fork 0
mirror of https://github.com/LCTT/TranslateProject.git synced 2025-01-13 22:30:37 +08:00
Code Issues Packages Projects Releases Wiki Activity

Update 20220809 Github Takes Action To Prevent Supply Chain Attacks On Open Source.md

Browse Source
This commit is contained in:
zhaoxu_Lee 2022-08-19 12:47:03 +08:00 committed by GitHub
parent a6cc43f006
commit 9f154037c6
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23
1 changed files with 1 additions and 1 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

2
translated/news/20220809 Github Takes Action To Prevent Supply Chain Attacks On Open Source.md
View File

@ -17,7 +17,7 @@ GitHub 并不是开源生态系统的唯一组成部分,但 Sigstore 的联合
通过让包管理器可以使用 Sigstore开发人员可以在 Sigstore 工具的帮助下在软件通过供应链时处理加密检查和要求。这增加了产品流通过程中每个阶段的透明度。Lorenc 说,许多人惊讶地发现,这些完整性检查还没有实施,开源生态系统中相当大的一部分长期以来一直依赖于盲目的信心。拜登政府于 2021 年 5 月发布了一项行政命令,主要处理软件供应链安全问题。
Linux 基金会、Google、Red Hat、Purdue Universit 和 Chainguard 都对 Sigstore 的开发做出了贡献。现在有了使用 Sigstore 为 Python 包发行版签名的官方软件,而且开发软件的开源环境  Kubernetes 现在也支持它。
Linux 基金会、Google、Red Hat、Purdue Universit 和 Chainguard 都对 Sigstore 的开发做出了贡献。现在有了使用 Sigstore 为 Python 包发行版签名的官方软件,而且开发软件的开源环境 Kubernetes 现在也支持它。
Sigstore 依靠免费和简单易用来鼓励采用,就像主要行业推动 HTTPS 网络加密一样这在很大程度上是由非营利互联网安全研究集团Internet Security Research Group的 Lets Encrypt 等工具实现的。据 Github 称,该项目会首先提出 Sigstore 将如何在 npm 中实现的建议,并在开放评论期征求社区人员对该工具的精确部署策略的意见。然而,最终的目标是让这样的代码签名能够被尽可能多的开源项目使用,从而实现对供应链的攻击。