Компания Google сообщила о формировании первых стабильных выпусков компонентов, образующих проект Sigstore, который объявлен пригодным для создания рабочих внедрений. Sigstore развивает инструменты и сервисы для верификации программного обеспечения при помощи цифровых подписей и ведения публичного лога, подтверждающего подлинность изменений (transparency log). Проект развивается под эгидой некоммерческой организации Linux Foundation компаниями Google, Red Hat, Cisco, vmWare, GitHub и HP Enterprise при участии организации OpenSSF  (Open Source Security Foundation) и университета Пердью...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57979

• Объявлено о готовности системы криптографической верификации...,Аноним, 19:42 , 25-Окт-22
  • Объявлено о готовности системы криптографической верификации...,zeroc0der, 20:01 , 25-Окт-22
  • Объявлено о готовности системы криптографической верификации...,КО, 07:57 , 26-Окт-22
• Объявлено о готовности системы криптографической верификации...,wasm, 19:45 , 25-Окт-22
• Объявлено о готовности системы криптографической верификации...,ip1982, 19:54 , 25-Окт-22
  • Объявлено о готовности системы криптографической верификации...,Аноним, 11:17 , 26-Окт-22
  • Объявлено о готовности системы криптографической верификации...,Аноним, 17:48 , 26-Окт-22
• Объявлено о готовности системы криптографической верификации...,Аноним, 20:54 , 25-Окт-22
• Объявлено о готовности системы криптографической верификации...,Анонус, 20:59 , 25-Окт-22
  • Объявлено о готовности системы криптографической верификации...,bircoph, 21:11 , 25-Окт-22
  • Объявлено о готовности системы криптографической верификации...,google, 21:47 , 25-Окт-22
• Объявлено о готовности системы криптографической верификации...,nuclight, 22:54 , 25-Окт-22
• Объявлено о готовности системы криптографической верификации...,microsoft, 23:06 , 25-Окт-22
• Объявлено о готовности системы криптографической верификации...,Аноним, 03:08 , 26-Окт-22
• Объявлено о готовности системы криптографической верификации...,myhand, 07:56 , 26-Окт-22
  • Объявлено о готовности системы криптографической верификации...,Бывалый смузихлёб, 08:41 , 26-Окт-22
    • Объявлено о готовности системы криптографической верификации...,Andrew Tridgel, 23:27 , 26-Окт-22
      • Объявлено о готовности системы криптографической верификации...,Бывалый смузихлёб, 13:02 , 27-Окт-22
• Объявлено о готовности системы криптографической верификации...,Аноним, 17:44 , 26-Окт-22
• Объявлено о готовности системы криптографической верификации...,Аноним, 19:11 , 05-Ноя-22

Всё это заменяется блокчейном биткойна

Правильнее сказать, что <censored> блокчейн заменяется этим решением.

Давай вместо хэшей и солей твой сраный чейн засунем.
Потому что модно и молодежно.

Из текста новости выходит что это - надсмехателство над криптографией.
полный путин.
Сложные алгоритмы описаются на доверие к структуре "разработчик идентифицирует себя через провайдера OpenID".
если инфраструктура провайдера будет вскрыта - все вылетает в трубу,
и если есть инфраструктура которой мы доверяем - то зачем нужно городить все эти сложности?

правильно - электронные подписи без всяких провайдеров OpenID.
разработчик который не может в подписи - гнать санными тряпками.

> под эгидой некоммерческой организации Linux Foundation компаниями Google, **IBM**, Cisco, vmWare, **Microsoft**

Кто линупc кормит, тот его и сношает. Что-то не так?

> и университета Пердью!

Достаточно угнать креды и авторизоваться в OpenID, чтобы код стал криптографически верифицированным? Ну ок. Как всегда все упрется в 2ФА или физический доступ.
Что-то на уровне подписи ключом, хранящимся в облаке. Корпоративная имитация безопасности, чисто ритуальные действия.

Т.е. теперь доверенным будет только софт, подписанный Гуглом? ОЙ, простите, провайдерами OpenID Connect.

Да, можно будет легко отшивать неугодных, недостаточно толерантных и прочих инакомыслящих. Всё во имя безопасности пользователей, разумеется.

А как иначе? Caliptra https://www.opennet.dev/opennews/art.shtml?num=57962

Гуглю мало контроля над вебом (в виде https и карманного CA), теперь еще и над кодом хочет? GPG-подпись коммитов в гите сто лет есть ведь.

Ну вот и еще один кусочек локдауна готов. *звук потирания банкстеро-ручек*

GitHub уже работает над интеграцией с npm пакетами

Делаем ставки на то, как скоро в дебиане пройдет очередной обобрямс на тему замены плохих, негодных GPG-подписей пакетов на этот зонд?

Аноны даже не замечают что их с линуксами системно со всех сторон поджимают, причём когда система комплексно заработает, уже поздно будет брыкаться

С одной стороны - подписание исходников и сборок тем кем надо( или не подписание им без юридической ответственности )
С другой - механизмы проверки целостности в системе, основанные на сопоставлении с ключевыми точками

Если так дальше пойдёт, то даже при некоторой открытости исходников, сборки тех же пакетов но с выпиленными зондами уже не будут проходить верификацию и придётся либо сидеть за тыквой беззондовой, либо - с зондами, без модулей с которыми многое тупо работать не будет

Это может оказаться гораздо хуже винды, т.к уже не окажется линукса на который можно свалить

Свалите на FreeBSD и будете 0.1%. В десять раз элитнее линукса!

> Свалите на FreeBSD и будете 0.1%. В десять раз элитнее линукса!

Дело не в илитности. В итоге окажется, что бздям либо потребуется реализовать кучу механизмов защиты от пользователя, либо - функциональность будет даже хуже чем сейчас( если вообще сможет запуститься на новом компе. А то окажется, что тут - не подписано, там - нет подключения "единственно-правильным" сервакам верификации и так далее )

ох блин. расскажите им уже о git коммитах.

велосипедостроители. go get, pip, npm, compose то-же писали такие же не умеющие в git submodules

Только подписи OpenPGP пакетов и комитов.

Только подписи открытых ключей OpenPGP при личной встрече с верификацией паспортный данных и почты.

Все остальное от лукавых жидомасонам, чтобы вирусы распространять.