В опит да осигури веригата за доставка на безплатен софтуер, Linux Foundation (организацията с нестопанска цел, която насърчава иновациите чрез отворен код) си партнира с Red Hat, Google и университета Purdue, за да стартира нов проект, който помага на разработчиците лесно да възприемат криптографски подпис в софтуера.
това нов проект се поддържа от рекордни технологии за прозрачност, тъй като непрекъснато нарастващият процент на внедряване на софтуер с отворен код, проектът, Sigstore има за цел да предотврати атака срещу публично хранилище на софтуер от инжектиране на корумпиран код във веригата за доставки.
sigstore ще позволи на разработчиците на софтуер да подписват сигурно софтуерни артефакти като файлове с версии, изображения на контейнери и двоични файлове. Споменава се, че подписаните артикули се съхраняват в защитен от фалшифициране публичен дневник.
SigStore се стреми да даде възможност на разработчиците да разберат и потвърдят произхода и автентичността на софтуера, който се основава на често различен набор от подходи и формати за данни. Съществуващите решения често се основават на "обобщения" (хеш или резултати от хеш функция), съхранявани в несигурни системи, които могат да бъдат повредени и да доведат до различни атаки, като обмен на хеш или хеш функция, атаки, насочени срещу потребители.
Използването на услугата ще бъде безплатно за всички разработчици и доставчици на софтуер, а общността на SigStore ще разработи кода и оперативните инструменти за sigstore. Red Hat, Google и Purdue University са сред членовете-основатели на проекта.
„Sigstore дава възможност на всички общности с отворен код да подписват своя софтуер и съчетава произход, целостта и откриваемостта, за да създаде прозрачна и проверима верига за доставки на софтуер“, каза Люк Хиндс, главен служител по сигурността, офис на техническия директор на Red Hat. "Като хостваме това сътрудничество в Linux Foundation, можем да ускорим работата си върху sigstore и да подкрепим продължаващото приемане и въздействие на софтуера и разработката с отворен код."
„Осигуряването на софтуерна реализация трябва да започне с увереността, че използваме софтуера, който смятаме, че имаме. sigstore представлява чудесна възможност да внесете повече доверие и прозрачност във веригата за доставки на софтуер с отворен код “, каза Джош Аас,
Аргументирайки, че модерната верига за доставки на софтуер е изложена на множество рискове, проектът казва, че съществуващите инструменти, които включват хора, които се срещат лично, за да подпишат ключове и които са работили добре толкова дълго, вече не може да се постигне в днешната среда с географски разпръснати райони.
Също така се споменава, че има много малко проекти с отворен код, които криптографски подписват артефакти на версията на софтуера. Това се дължи до голяма степен на предизвикателствата, пред които са изправени поддръжниците на софтуер при управлението на ключове, ключовите компромиси, отнемането и разпространението на публични ключове и хеш артефакти. Това означава, че потребителите трябва да разберат на кои ключове да се доверят и да научат стъпките, необходими за валидиране на подписа.
„Sigstore има за цел да направи всички версии на софтуера с отворен код проверими и да улесни проверката от потребителите. Надяваме се, че можем да улесним това като излизане от vim “, каза Дан Лоренц, софтуерен инженер в екипа за сигурност на софтуера с отворен код на Google.
Друг проблем е как се разпределят хешовете и публичните ключове: те често се съхраняват на потенциално хакнати уебсайтове или във файл README, намиращ се в публично хранилище на git.
SigStore се стреми да разреши тези проблеми, като използва краткотрайни ефимерни ключове с корен на доверие, извлечен от отворен и проверяем публичен регистър за прозрачност. Новата услуга ще помогне на разработчиците и потребителите да разберат и потвърдят произхода и автентичността на софтуера, с минимални режийни разходи.
„Много съм развълнувана от система като sigstore. Софтуерната екосистема спешно се нуждае от такава система, за да докладва за състоянието на веригата на доставки. Мисля, че със sigstore, който отговаря на всички въпроси относно софтуерните източници и собствеността, можем да започнем да задаваме въпроси относно софтуерните дестинации, потребителите, спазването (законно и по друг начин), за да идентифицираме престъпни мрежи и да осигурим критична софтуерна инфраструктура. “, Каза Сантяго Торес-Ариас