U nastojanju da osigura lanac opskrbe besplatnim softverom, Linux Foundation (neprofitna organizacija koja njeguje inovacije putem otvorenog koda) je udružio Red Hat, Google i Purdue University za pokretanje novi projekt koji pomaže programerima da lako usvoje kriptografski potpis u softveru.
Este novi projekat je podržan rekordnim tehnologijama transparentnosti, jer sve veća industrijska stopa usvajanja softvera otvorenog koda, projekt, Sigstore ima za cilj spriječiti napad na javno spremište softvera od ubrizgavanja kvarnog koda u lanac opskrbe.
sigstore omogućit će programerima da se sigurno potpišu softverski artefakti poput datoteka verzija, slika spremnika i binarnih datoteka. Spominje se da se potpisani predmeti čuvaju u javnom časopisu zaštićenom od neovlaštenog ponašanja.
SigStore nastoji omogućiti programerima da razumiju i potvrde porijeklo i autentičnost softvera koji se temelji na često različitom skupu pristupa i formatima podataka. Postojeća rješenja često se temelje na "sažetcima" (hash ili rezultati hash funkcije) pohranjenim na nesigurnim sistemima, koji mogu biti oštećeni i dovesti do različitih napada, poput razmjene hasha ili hash funkcije, napada usmjerenih protiv korisnika.
Korišćenje usluge bit će besplatan za sve programere i dobavljače softvera, a SigStore zajednica će razviti kod i operativne alate za sigstore. Red Hat, Google i Purdue University su među osnivačima projekta.
"Sigstore omogućava svim zajednicama otvorenog koda da potpišu svoj softver i kombinira porijeklo, integritet i mogućnost otkrivanja kako bi stvorio transparentan i provjerljiv lanac opskrbe softverom", rekao je Luke Hinds, glavni službenik za sigurnost, ured HTO-a Red Hat-a. "Domaćinom ove suradnje u Linux Foundation, možemo ubrzati naš rad na sigstoreu i podržati kontinuirano usvajanje i utjecaj softvera i razvoja otvorenog koda."
„Osiguravanje implementacije softvera trebalo bi započeti osiguravanjem da radimo softver za koji mislimo da ga imamo. Sigstore predstavlja sjajnu priliku da unesete više povjerenja i transparentnosti u lanac opskrbe softvera otvorenog koda ”, rekao je Josh Aas,
Tvrdeći da je moderni lanac opskrbe softverom izložen višestrukim rizicima, projekat kaže da postojeći alati, koji uključuju ljude koji se lično sastaju da potpišu ključeve i koji su toliko dugo radili, više se ne može postići u današnjem okruženju s geografski rasprostranjenim područjima.
Takođe, to se spominje vrlo je malo projekata otvorenog koda koji kriptografski potpisuju artefakte verzije softvera. To je uglavnom zbog izazova s kojima se održavači softvera suočavaju u upravljanju ključevima, ključnim kompromisima, opozivu i distribuciji javnih ključeva i heš-artefakata. To znači da korisnici moraju shvatiti kojim ključevima vjerovati i naučiti korake potrebne za provjeru valjanosti potpisa.
„Sigstore ima za cilj učiniti sve verzije softvera otvorenog koda provjerljivim i olakšati verifikaciju korisnicima. Nadamo se da ćemo ovo učiniti jednostavnim poput izlaska iz vima ”, rekao je Dan Lorenc, softverski inženjer u Googleovom timu za sigurnost softvera otvorenog koda.
Drugi problem je kako se distribuiraju heševi i javni ključevi - oni se često čuvaju na potencijalno hakiranim web lokacijama ili u README datoteci koja se nalazi u javnom git spremištu.
SigStore nastoji riješiti ove probleme korištenjem kratkotrajnih efemernih ključeva s korijenom povjerenja iz otvorenog i provjerljivog javnog registra transparentnosti. Nova usluga pomoći će programerima i korisnicima da razumiju i potvrde porijeklo i autentičnost softvera, uz minimalne troškove.
„Jako sam uzbuđen zbog sistema poput sigstore. Softverski ekosustav hitno treba takav sistem za izvještavanje o statusu lanca opskrbe. Mislim da sa sigstoreom, koji odgovara na sva pitanja o izvorima softvera i vlasništvu, možemo početi postavljati pitanja o softverskim destinacijama, potrošačima, poštivanju zakonskih i drugih propisa, kako bismo identificirali kriminalne mreže i osigurali kritične softverske infrastrukture. ”, Rekao je Santiago Torres-Arias