开放源码安全基金会(OpenSSF)已经开发了一个 免费课程 为软件开发人员、DevOps工程师、安全工程师和软件维护人员提供关于如何充分使用Sigstore工具包的信息。

该课程。 用Sigstore保证你的软件供应链安全 (LFS182x) 在Linux基金会的培训和认证平台上可以获得,其设计考虑到了Sigstore工具的终端用户。在整个生命周期内构建和发布安全的软件是一项挑战,这使得许多项目没有准备好默认的安全构建。攻击和漏洞可能出现在整个链条的任何一个环节,从编写到包装和向最终用户分发软件。 淘宝网 是为改善软件供应链的完整性而出现的若干创新技术之一,减少了开发人员在日常工作中实施安全所面临的摩擦。

本课程将向你介绍Cosign、Fulcio和Rekor这些Sigstore旗下的工具,解释它们如何支持更安全的软件供应链。你将学习如何在你的软件开发、测试和分销过程中使用这些工具。此外,那些使用或实施你的软件的人将能够通过防篡改的公共日志验证其真实性。

完成本课程后,学员将能够为其组织的安全策略提供信息,并在默认情况下更安全地构建软件。希望这能帮助你解决在软件供应链的任何步骤中可能出现的攻击和漏洞,从编写到包装和分发软件到最终用户。

为了最好地利用这个课程,您需要熟悉Linux终端和使用命令行工具。您还需要具备云计算和DevOps概念的中级知识,如使用和构建容器以及GitHub Actions等CI/CD系统。

课程和结业证书都是免费的。它完全是在线的,大约需要8个小时来完成,而且你可以按照自己的节奏进行。

开始 "用Sigstore保护你的软件供应链 "课程(LFS182x)。