Linux Foundation、無料のソフトウェア署名サービス「sigstore」を発表 12
ストーリー by nagazou
発表 部門より
発表 部門より
headless 曰く、
Linux Foundationは9日、無料のソフトウェア署名サービス「sigstore」を発表した( プレスリリース、 BetaNewsの記事、 Neowinの記事、 The Registerの記事)。
リリースするソフトウェアにデジタル署名する場合、鍵の管理や侵害発生時の失効処理、安全な公開鍵とハッシュの配布などに困難が伴うため、実行しているオープンソースプロジェクトは非常に少ない。sigstoreはすべてのソフトウェア開発者やソフトウェアプロバイダーが無料で容易に導入可能な署名サービスを提供し、サプライチェーンの安全性を高めるため、Red HatやGoogle、パデュー大学が中心となって設立された。sigstoreはコミュニティにより開発され、証明書を耐タンパー性のある公開ログに記録することで、ソフトウェア成果物への署名を安全に行うことが可能となる。
名前が読みづらい (スコア:0)
sisterでよくね?
Re: (スコア:0)
新オブジェクトの命名においては多義性は排除スべし
Re: (スコア:0)
ググラビリティの低い名称を新プロジェクトに付けようとするな
Re: (スコア:0)
なぜプログラミング言語はいつまでたっても行くだの敏速だの錆だのといった名前をつけたがるのか
Re: (スコア:0)
アルファベット一文字よりマシ
と考えているから
過去バージョンを使うときにトラブルの原因になるかもしれない (スコア:0)
ソースなら最悪自分でmakeしてしまえばいいが、バイナリに著名されてるとこの前のDirectXみたいな問題や
過去バージョンを使うときにトラブルの原因になるかもしれない。
Re: (スコア:0)
その配布されているソースやバイナリが改ざんされていたら?
→いやCRCを表記して確認すればいいよ
→そのCRCも改ざんされていたら?
そういうのを防ぐことができるのが電子署名だからね。
簡単に署名できるプラットフォームがあるのは助かることだよ。
署名が正しくなくても使える/使えない。
署名がないとインストールできない。
っていうように使い勝手を犠牲にしてセキュリティを高めるかというのはまた別問題。
#DirectX問題もおそらくは自分で署名してしまえばインストールできたはず=こういう簡単に署名できる仕組みがあれば困らなかった
Re: (スコア:0)
なぜ人は「署名」を「著名」と間違うのか
著名しなおしたverを配布しないのかな (#3974404) | Microsoftダウンロードセンター、SHA-1署名のダウンロードを「本当に」提供中止 [srad.jp]
Re: (スコア:0)
ちょめい←なぜか変換できない
つまり漢字が読めてないってことだな
認証局自体の信用次第 (スコア:0)
rootが問題です(走召糸色木亥火暴)
"castigat ridendo mores" "Saxum volutum non obducitur musco"
Rust (スコア:0)
RustはGPGで署名して安全だと思った。
公開鍵がrust-lang.orgとkeybase.ioの2箇所で置いてあって改ざんするのが難しい。
https://forge.rust-lang.org/infra/other-installation-methods.html#stan... [rust-lang.org]
要するに開発者募集 (スコア:0)
どれどれ……と見に行ったら開発途中で概念実証コードだけだった
あとTwitterの公式アカウントが答えてたけどMacアプリ対応はAppleが認めない限り無理そう