为在新网站上跟踪WordPress和作曲家的努力beplay体育能用吗
去年,软件供应链对IT基础设施供应商Solarwinds的攻击已恢复了对可能减轻这种攻击的技术的兴趣。
上个月,这次袭击影响了许多联邦政府机构以及微软和威胁检测公司FireEye。
旨在防止此类事件的一个有前途的项目是游丝,被称为奉献供应链安全为了开源软件。
Gossamer结合了加密签名和透明度日志的组合,以保护软件更新,通过使任何渎职行为显而易见。
交易(例如发布更新或添加软件签名密钥)在仅附录的密码分类帐上发布。该技术提供了一种验证谁发布更新及其真实性的方法。
污染的用品
Solarwinds的Orion软件更新平台在2020年3月左右遭到折衷,九个月前检测到问题由12月的Fireeye。
以前的软件供应链攻击包括乌克兰政府与NotPetya规定的M.E.DOC税收和财务报告软件包的感染,这是2017年破坏性的恶意软件菌株。
NotPetya攻击破坏了操作在多家国际公司中,造成了数百万美元的损害赔偿,包括联邦快递和运输巨头马士克。
Paragon Initiative Enterprises (PIE), the PHP security and applied cryptography experts behind the technology, foresees a variety of use cases for the technology, including in WordPress’ Automatic Updates for Themes and Plugins, Composer (the PHP dependency manager), and NPM (the Node.js dependency manager).
Pie告诉PIE告诉每日swbeplay2018官网ig。
重大修订
作为这个时间表说明,Gossamer项目的起源可追溯到2014年7月。该项目在其成立以来的六年半中进行了许多重大修订。
本月初,Pie推出了一个网站,以跟踪与Gossamer Integrabeplay体育能用吗tion确保WordPress和作曲家的多种持续努力。
该项目的开发人员工具方面被描述为三分之二的完整和“正在进行的”,而WordPress和Composer集成都在待处理中。
要求解释如何反对类似于Solarwinds的软件供应链攻击的Gossamer,PIE的发言人每日swbeplay2018官网ig:“ Gossamer的机制有助于进行类似太阳能的攻击,这是证明,这是在2019年在Libgossamer中指定的。”
证明使第三方提供商可以主张其他提供商发布的其他软件更新的财产。
发言人添加:“我们2021年的重点是WordPress,然后是作曲家。如果成功的话,我们将在2022年查看NPM/Maven/等。”
一个路线图因为该项目解释说,“渐ha的最终目标是确保PHP和WordPress开发人员具有签署其开源软件的能力,并验证他们从第三方开发人员那里安装的依赖项是真实的。”
“当我们成功地确保PHP生态系统时,我们打算协助其他生态系统(例如Java,Node.js,Python,Ruby)确保其开源软件供应链。”
有关的 Microsoft在承认Solarwinds Hackers访问源代码后轻描淡写威胁
