Ve snaze zabezpečit dodavatelský řetězec svobodného softwaru, Linux Foundation (nezisková organizace, která podporuje inovace prostřednictvím open source) zahájila spolupráci s Red Hat, Google a Purdue University nový projekt, který vývojářům pomůže snadno převzít kryptografický podpis v softwaru.
toto nový projekt je podporován technologiemi transparentnosti záznamů, protože projekt se neustále zvyšuje s průmyslovým přijetím softwaru s otevřeným zdrojovým kódem, Sigstore si klade za cíl zabránit útoku na veřejné softwarové úložiště, aby nevpustil poškozený kód do dodavatelského řetězce.
sigstore umožní vývojářům softwaru bezpečně podepisovat softwarové artefakty, jako jsou soubory verzí, obrázky kontejnerů a binární soubory. Uvádí se, že podepsané položky jsou uloženy ve veřejném deníku, který je odolný proti neoprávněné manipulaci.
SigStore se snaží umožnit vývojářům porozumět a potvrdit původ a autentičnost softwaru, který je založen na často nesourodé sadě přístupů a datových formátů. Stávající řešení jsou často založena na „souhrnech“ (hash nebo výsledcích hash funkce) uložených v nezabezpečených systémech, které mohou být poškozeny a vést k různým útokům, jako je hash výměna nebo hash funkce, útoky namířené proti uživatelům.
Využívání služby bude zdarma pro všechny vývojáře a prodejce softwarua komunita SigStore vyvine kód a provozní nástroje pro sigstore. Red Hat, Google a Purdue University patří mezi zakládající členy projektu.
„Sigstore umožňuje všem komunitám s otevřeným zdrojovým kódem podepisovat svůj software a kombinuje původ, integritu a zjistitelnost a vytváří transparentní a ověřitelný dodavatelský řetězec softwaru,“ uvedl Luke Hinds, hlavní bezpečnostní pracovník kanceláře Red Hat CTO. „Hostováním této spolupráce v Linux Foundation můžeme urychlit naši práci na sigstore a podpořit další přijetí a dopad open source softwaru a vývoje.“
"Zabezpečení implementace softwaru by mělo začít zajištěním toho, že používáme software, o kterém si myslíme, že ho máme." sigstore představuje skvělou příležitost vnést více důvěry a transparentnosti do dodavatelského řetězce softwaru s otevřeným zdrojovým kódem, “uvedl Josh Aas,
Argumentovat tím, že moderní dodavatelský řetězec softwaru je vystaven mnoha rizikům, projekt říká, že existující nástroje, které zahrnují osobní setkání osob, aby podepsaly klíče, a které fungují dobře tak dlouho, již nelze dosáhnout v dnešním prostředí s geograficky rozptýlenými oblastmi.
To je také uvedeno existuje jen velmi málo projektů s otevřeným zdrojovým kódem, které kryptograficky podepisují artefakty verze softwaru. To je do značné míry způsobeno výzvami, kterým správci softwaru čelí při správě klíčů, klíčovým kompromisům, odvolání a distribuci veřejných klíčů a hash artefaktů. To znamená, že uživatelé musí zjistit, kterým klíčům důvěřovat, a naučit se kroky potřebné k ověření podpisu.
„Cílem společnosti Sigstore je ověřit všechny verze softwaru s otevřeným zdrojovým kódem a usnadnit ověření uživateli. Doufejme, že to můžeme udělat stejně snadno jako ukončení vimu, “řekl Dan Lorenc, softwarový inženýr v týmu zabezpečení softwaru Google s otevřeným zdrojem.
Dalším problémem je distribuce hashů a veřejných klíčů: často se ukládají na potenciálně napadených webech nebo v souboru README umístěném ve veřejném úložišti git.
SigStore se snaží řešit tyto problémy pomocí krátkodobých pomíjivých klíčů s kořenem důvěry čerpaných z otevřeného a ověřitelného veřejného registru transparentnosti. Nová služba pomůže vývojářům a uživatelům pochopit a potvrdit původ a autentičnost softwaru s minimální režií.
"Jsem velmi nadšený ze systému, jako je sigstore." Softwarový ekosystém naléhavě potřebuje takový systém, aby mohl podávat zprávy o stavu dodavatelského řetězce. Myslím, že se sigstore, který odpovídá na všechny otázky týkající se softwarových zdrojů a vlastnictví, můžeme začít klást otázky ohledně softwarových destinací, spotřebitelů, dodržování předpisů (legálních i jiných), abychom mohli identifikovat zločinecké sítě a zabezpečit kritickou softwarovou infrastrukturu. “, Řekl Santiago Torres-Arias