Sigstore ، خدمة مجانية للتحقق من أصل البرنامج وأصالته

في محاولة لتأمين سلسلة إمداد البرمجيات المجانية ، قام ملف مؤسسة لينكس (منظمة غير ربحية تعزز الابتكار من خلال المصادر المفتوحة) دخلت في شراكة مع Red Hat و Google وجامعة بوردو للإطلاق مشروع جديد لمساعدة المطورين على اعتماد التوقيع المشفر بسهولة في البرامج.

هذا مشروع جديد مدعوم بتقنيات الشفافية القياسية ، حيث أن معدل التبني الصناعي المتزايد لبرمجيات المصدر المفتوح ، المشروع ، يهدف Sigstore إلى منع هجوم على مستودع برمجيات عام من حقن رمز فاسد في سلسلة التوريد.

سيجستور سيسمح لمطوري البرامج بالتوقيع بأمان عناصر البرامج مثل ملفات الإصدار وصور الحاوية والثنائيات. يذكر أنه يتم تخزين العناصر الموقعة في مجلة عامة غير قابلة للعبث.

يسعى SigStore إلى تمكين المطورين من فهم وتأكيد أصل وأصالة البرنامج الذي يعتمد على مجموعة متباينة من الأساليب وتنسيقات البيانات. غالبًا ما تستند الحلول الحالية إلى "ملخصات" (تجزئة أو نتائج دالة تجزئة) مخزنة على أنظمة غير آمنة ، والتي يمكن أن تتلف وتؤدي إلى هجمات مختلفة ، مثل تبادل التجزئة أو وظيفة التجزئة ، والهجمات الموجهة ضد المستخدمين.

استخدام الخدمة سيكون مجانيًا لجميع مطوري البرامج والبائعين، وسيقوم مجتمع SigStore بتطوير الكود والأدوات التشغيلية لـ sigstore. ريد هات وجوجل وجامعة بوردو من بين الأعضاء المؤسسين للمشروع.

قال Luke Hinds ، كبير مسؤولي الأمن بمكتب Red Hat CTO: "يُمكّن Sigstore جميع مجتمعات المصادر المفتوحة من التوقيع على برمجياتهم ويجمع بين المصدر والنزاهة وقابلية الاكتشاف لإنشاء سلسلة توريد برمجيات شفافة ويمكن التحقق منها". "من خلال استضافة هذا التعاون في Linux Foundation ، يمكننا تسريع عملنا على sigstore ودعم الاعتماد المستمر وتأثير البرامج مفتوحة المصدر والتطوير."

"يجب أن يبدأ تأمين تنفيذ البرنامج بالتأكد من أننا نقوم بتشغيل البرنامج الذي نعتقد أننا نمتلكه. يمثل sigstore فرصة رائعة لجلب المزيد من الثقة والشفافية إلى سلسلة توريد البرامج مفتوحة المصدر "، قال جوش آس ،

بحجة أن سلسلة توريد البرمجيات الحديثة معرضة لمخاطر متعددة ، يقول المشروع أن الأدوات الموجودة، التي تتضمن لقاء الأشخاص وجهًا لوجه لتوقيع المفاتيح ، وقد نجح ذلك لفترة طويلة ، لم يعد من الممكن تحقيقه في بيئة اليوم مع وجود مناطق متفرقة جغرافيًا.

أيضا ، ذكر ذلك هناك عدد قليل جدًا من المشاريع مفتوحة المصدر التي تقوم بالتوقيع بشكل مشفر على عناصر إصدار البرنامج. هذا يرجع إلى حد كبير إلى التحديات التي يواجهها مشرفو البرامج في إدارة المفاتيح ، والتسويات الرئيسية ، وإلغاء وتوزيع المفاتيح العامة وعناصر التجزئة. هذا يعني أنه يجب على المستخدمين معرفة المفاتيح التي يجب الوثوق بها ومعرفة الخطوات المطلوبة للتحقق من صحة التوقيع.

يهدف Sigstore إلى جعل جميع إصدارات البرامج مفتوحة المصدر قابلة للتحقق وتسهيل التحقق من قبل المستخدمين. قال دان لورينك ، مهندس برمجيات في فريق أمان برمجيات المصدر المفتوح في Google ، "نأمل أن نتمكن من جعل هذا الأمر سهلاً مثل الخروج من vim". 

هناك مشكلة أخرى وهي كيفية توزيع التجزئة والمفاتيح العامة: غالبًا ما يتم تخزينها على مواقع الويب التي يُحتمل اختراقها أو في ملف README موجود في مستودع git عام.

يسعى SigStore إلى معالجة هذه المشكلات باستخدام مفاتيح سريعة الزوال قصيرة العمر مع جذر ثقة مستمدة من سجل شفافية عام مفتوح ويمكن التحقق منه. ستساعد الخدمة الجديدة المطورين والمستخدمين على فهم وتأكيد أصل البرنامج وأصالته ، بأقل قدر من النفقات.

"أنا متحمس جدًا لنظام مثل sigstore. يحتاج النظام البيئي للبرامج بشكل عاجل إلى مثل هذا النظام للإبلاغ عن حالة سلسلة التوريد. أعتقد أنه مع sigstore ، الذي يجيب على جميع الأسئلة حول مصادر البرامج وملكيتها ، يمكننا البدء في طرح أسئلة حول وجهات البرامج والمستهلكين والامتثال (القانوني وغير ذلك) ، لتحديد الشبكات الإجرامية وتأمين البنى التحتية للبرامج الحيوية. "، قال سانتياغو توريس أرياس


كن أول من يعلق

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.