Предложете да използвате Sigstore за проверка на пакета в NPM

Новината беше пусната, че в GitHub е поставено за обсъждане предложение за изпълнение услугата Sigstore за проверка на пакети с цифрови подписи и поддържане на публичен запис за потвърждаване на автентичността при разпространение на версии.

За предложението се споменава, че използването на Sigstore ще позволи прилагането на допълнително ниво на защита срещу атаки, насочени към подмяна на софтуерни компоненти и зависимости (верига на доставки).

Осигуряването на веригата за доставки на софтуер е едно от най-големите предизвикателства пред сигурността, пред които е изправена нашата индустрия в момента. Това предложение е важна следваща стъпка, но истинското разрешаване на това предизвикателство ще изисква ангажираност и инвестиции от цялата общност...

Тези промени помагат за защита на потребителите с отворен код от атаки по веригата за доставки на софтуер; с други думи, когато злонамерените потребители се опитват да разпространят зловреден софтуер, като пробият акаунта на поддържащия и добавят зловреден софтуер към зависимостите с отворен код, използвани от много разработчици.

Например, въведената промяна ще защити източниците на проекта в случай, че акаунтът на програмист на една от зависимостите в NPM е компрометиран и атакуващият генерира актуализация на пакет със злонамерен код.

Струва си да се спомене, че Sigstore не е просто друг инструмент за подписване на код, тъй като неговият нормален подход е да елиминира необходимостта от управление на ключове за подписване чрез издаване на краткосрочни ключове, базирани на идентичности на OpenID Connect (OIDC), в същото време, когато записва действията в неизменна книга, наречена rekor, в допълнение към която Sigstore има свой собствен сертифициращ орган, наречен Fulcio

Благодарение на новото ниво на защита, разработчиците ще могат да свържат генерирания пакет с използвания изходен код и средата за компилиране, давайки възможност на потребителя да провери дали съдържанието на пакета съответства на съдържанието на източниците в основното хранилище на проекта.

Използването на Sigstore значително опростява процеса на управление на ключовете и елиминира сложността, свързана с регистрацията, анулирането и управлението на криптографски ключове. Sigstore се рекламира като Let's Encrypt за код, предоставяйки сертификати за цифрово подписване на код и инструменти за автоматизиране на проверката.

Отваряме нова заявка за коментари (RFC) днес, която разглежда обвързването на пакет към неговото хранилище на източник и среда за изграждане. Когато поддържащите пакети изберат тази система, потребителите на техните пакети могат да имат повече увереност, че съдържанието на пакета съответства на съдържанието на свързаното хранилище.

Вместо постоянни ключове, Sigstore използва краткотрайни ефимерни ключове, които се генерират въз основа на разрешения. Материалът, използван за подписа, се отразява в защитен от модификация публичен запис, което ви позволява да се уверите, че авторът на подписа е точно този, за когото се представя, и подписът е съставен от същия участник, който е бил отговорен.

Проектът е видял ранно приемане с други екосистеми за управление на пакети. С днешния RFC предлагаме да добавим поддръжка за подписване от край до край на npm пакети с помощта на Sigstore. Този процес ще включва генериране на сертификати за това къде, кога и как е създаден пакетът, така че да може да бъде проверен по-късно.

За да се гарантира целостта и защита срещу повреда на данните, използва се дървовидна структура Merkle Tree в който всеки клон проверява всички основни клонове и възли чрез съвместен хеш (дърво). Като има завършващ хеш, потребителят може да провери коректността на цялата хронология на операциите, както и коректността на минали състояния на базата данни (хешът за проверка на корена на новото състояние на базата данни се изчислява, като се вземе предвид миналото състояние).

И накрая, заслужава да се спомене, че Sigstore е разработен съвместно от Linux Foundation, Google, Red Hat, Purdue University и Chainguard.

Ако искате да научите повече за това, можете да се консултирате с подробности в следната връзка.


Съдържанието на статията се придържа към нашите принципи на редакторска етика. За да съобщите за грешка, щракнете върху тук.

Бъдете първите, които коментират

Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван.

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.