Nyheden blev offentliggjort på GitHub er et forslag blevet sat til diskussion for at implementere servicen Sigstore til at verificere pakker med digitale signaturer og opretholde en offentlig registrering for at bekræfte ægtheden ved distribution af udgivelser.
Om forslaget nævnes, at brugen af Sigstore vil gøre det muligt at implementere et yderligere beskyttelsesniveau mod angreb rettet mod at erstatte softwarekomponenter og afhængigheder (forsyningskæde).
Sikring af softwareforsyningskæden er en af de største sikkerhedsudfordringer, som vores branche står over for lige nu. Dette forslag er et vigtigt næste skridt, men virkelig løsning af denne udfordring vil kræve engagement og investeringer fra hele samfundet...
Disse ændringer hjælper med at beskytte open source-forbrugere mod softwareforsyningskædeangreb; med andre ord, når ondsindede brugere forsøger at sprede malware ved at bryde en vedligeholders konto og tilføje malware til de open source-afhængigheder, der bruges af mange udviklere.
For eksempel vil den implementerede ændring beskytte projektkilder i tilfælde af, at udviklerkontoen for en af afhængighederne i NPM kompromitteres, og en angriber genererer en pakkeopdatering med ondsindet kode.
Det er værd at nævne, at Sigstore ikke bare er endnu et kodesigneringsværktøj, da dets normale tilgang er at eliminere behovet for at administrere signeringsnøgler ved at udstede kortsigtede nøgler baseret på OpenID Connect (OIDC) identiteter, samtidig med at handlingerne registreres i en uforanderlig hovedbog kaldet rekor, derudover har Sigstore sin egen certificeringsmyndighed kaldet Fulcio
Takket være det nye beskyttelsesniveau, udviklere vil være i stand til at forbinde den genererede pakke med den anvendte kildekode og byggemiljøet, hvilket giver brugeren mulighed for at verificere, at indholdet af pakken svarer til indholdet af kilderne i hovedprojektets lager.
Brugen af Sigstore i høj grad forenkler nøglestyringsprocessen og eliminerer kompleksiteten forbundet med registrering, tilbagekaldelse og kryptografisk nøglehåndtering. Sigstore promoverer sig selv som Let's Encrypt for kode, og leverer certifikater til digital signering af kode og værktøjer til at automatisere verifikation.
Vi åbner en ny anmodning om kommentarer (RFC) i dag, som ser på at binde en pakke til dens kildelager og byggemiljø. Når pakkevedligeholdere vælger dette system, kan forbrugerne af deres pakker have mere tillid til, at indholdet af pakken matcher indholdet af det linkede lager.
I stedet for permanente nøgler, Sigstore bruger kortlivede flygtige nøgler, der genereres baseret på tilladelser. Materialet, der bruges til signaturen, afspejles i en modifikationsbeskyttet offentlig registrering, så du kan sikre dig, at forfatteren til signaturen er præcis den, de siger, de er, og signaturen er dannet af den samme deltager, som var ansvarlig.
Projektet har set tidlig adoption med andre pakkeforvaltere økosystemer. Med dagens RFC foreslår vi at tilføje support til end-to-end signering af npm-pakker ved hjælp af Sigstore. Denne proces vil omfatte generering af certificeringer om hvor, hvornår og hvordan pakken blev oprettet, så den kan verificeres senere.
For at sikre integritet og beskyttelse mod datakorruption, en Merkle Tree træstruktur bruges hvor hver gren tjekker alle underliggende grene og noder via fælles hash (træ). Ved at have en efterfølgende hash kan brugeren verificere rigtigheden af hele operationshistorikken såvel som rigtigheden af tidligere databasetilstande (rodcheck-hashen for den nye databasetilstand beregnes under hensyntagen til tidligere tilstand).
Til sidst er det værd at nævne, at Sigstore er udviklet i fællesskab af Linux Foundation, Google, Red Hat, Purdue University og Chainguard.
Hvis du vil vide mere om det, kan du se detaljerne i følgende link.