Zpráva byla zveřejněna, že na GitHubu byl předložen k diskusi návrh k implementaci služba Sigstore pro ověření balíčků s digitálními podpisy a udržovat veřejný záznam pro potvrzení pravosti při distribuci vydání.
O návrhu je zmíněno použití Sigstore umožní zavést další úroveň ochrany proti útokům zaměřeným na nahrazení softwarových komponent a závislostí (supply chain).
Zabezpečení dodavatelského řetězce softwaru je jednou z největších bezpečnostních výzev, kterým naše odvětví právě teď čelí. Tento návrh je důležitým dalším krokem, ale skutečné vyřešení tohoto problému bude vyžadovat odhodlání a investice z celé komunity…
Tyto změny pomáhají chránit spotřebitele open source před útoky na dodavatelský řetězec softwaru; jinými slovy, když se uživatelé se zlými úmysly pokoušejí šířit malware prolomením účtu správce a přidáním škodlivého softwaru do závislostí open source používaných mnoha vývojáři.
Implementovaná změna například ochrání zdroje projektu pro případ, že by byl ohrožen vývojářský účet jedné ze závislostí NPM a útočník vygeneroval aktualizaci balíčku se škodlivým kódem.
Stojí za zmínku, že Sigstore není jen další nástroj pro podepisování kódu, protože jeho normálním přístupem je eliminovat potřebu spravovat podepisovací klíče vydáváním krátkodobých klíčů založených na identitách OpenID Connect (OIDC) současně se záznamem akcí. v neměnné účetní knize zvané rekor, kromě toho má Sigstore vlastní certifikační autoritu s názvem Fulcio
Díky nové úrovni ochrany vývojáři budou moci propojit vygenerovaný balíček s použitým zdrojovým kódem a prostředí sestavení, což uživateli dává možnost ověřit, že obsah balíčku odpovídá obsahu zdrojů v hlavním úložišti projektu.
Použití Sigstore výrazně zjednodušuje proces správy klíčů a eliminuje složitosti spojené s registrací, odvoláním a správou kryptografických klíčů. Sigstore se propaguje jako Let's Encrypt for code, poskytuje certifikáty pro digitální podepisování kódu a nástroje pro automatizaci ověřování.
Dnes otevíráme novou žádost o komentáře (RFC), která se zabývá navázáním balíčku na jeho zdrojové úložiště a prostředí sestavení. Když se správci balíčků rozhodnou pro tento systém, spotřebitelé jejich balíčků mohou mít větší jistotu, že obsah balíčku odpovídá obsahu propojeného úložiště.
Místo trvalých klíčů Sigstore používá krátkodobé dočasné klíče, které jsou generovány na základě oprávnění. Materiál použitý pro podpis se odráží ve veřejném záznamu chráněném proti změnám, což vám umožňuje zajistit, že autor podpisu je přesně ten, za koho se vydává, a že podpis vytvořil stejný účastník, který byl odpovědný.
Projekt byl brzy přijat s dalšími ekosystémy správce balíčků. S dnešním RFC navrhujeme přidat podporu pro end-to-end podepisování balíčků npm pomocí Sigstore. Tento proces by zahrnoval generování certifikací o tom, kde, kdy a jak byl balíček vytvořen, aby jej bylo možné později ověřit.
Zajistit integritu a ochranu před poškozením dat, je použita stromová struktura Merkle Tree ve kterém každá větev kontroluje všechny základní větve a uzly prostřednictvím společného hashe (stromu). Tím, že má koncový hash, může uživatel ověřit správnost celé historie operací a také správnost minulých stavů databáze (kořenový kontrolní hash nového stavu databáze se vypočítá s ohledem na minulý stav).
Nakonec stojí za zmínku, že Sigstore společně vyvíjejí Linux Foundation, Google, Red Hat, Purdue University a Chainguard.
Pokud se o tom chcete dozvědět více, můžete se podívat na podrobnosti v následující odkaz.