цифровая подпись пакета #163
Comments
|
И хттпс в инфраструктуру |
|
Возникает вопрос - кто владелец приватного ключа? Хаб oscript? Автор пакета? А как заставить его купить сертификат подписи? |
|
Обычно оно как: издатель пакета создаёт на своей машине пару ключей приватный-публичный. Публичный регистрирует в хабе, приватным подписывает пакет перед отправкой в хаб. |
|
А какую проблему призвана решать подпись пакета? |
@asosnoviy там в телеграмчике военку обсуждали. Типа абы чо ставить не хотят. |
|
Ну вот насчет военки это как бы такое себе требование "подписывать". Кем подписывать, можно ли доверять и т.п... Для участия SB в тендере, наверное прокатит, но самый первичный секурити-аудит по-любому задаст вопросы насчет всего этого:
|
|
там еще речь про свой хаб была |
Вот это зело правильно и верно. Но требует допиливания opm |
|
Из всего помню что то на тему "Как я узнаю, что скачалось именно то, что я пушил". До изобретения цифровых подписей использовались контрольные суммы. Ну а раз спич про секьюрность, то вброшу еще. Модель угроз есть? |
|
Есть.
|
|
|
@EvilBeaver все еще хуже - добавление библиотеки для подписи. Вопрос какой. Во вторых что считать цифровой подписью PGP, GPG, X509, Gost512 В третьих кто собирал из исходников и кто подписал, а как опроверял ? Есть ли у вас сертификат ФСТЭК на софт. Кстати net.core имеет такой сертификат. Вопрос кто ему его выдал. Вообщем веселье продолжается. Пока юридическая. Но и техническая также. Например HTTPS://hub.oscript.io или даже HTTPS://oscript.io/downloads |
при сборке нужно подписывать пакет, при скачивания проверять ее валидность
The text was updated successfully, but these errors were encountered: