I et forsøg på at sikre den gratis softwareforsyningskæde, Linux Foundation (den nonprofitorganisation, der fremmer innovation gennem open source) har indgået et samarbejde med Red Hat, Google og Purdue University for at starte et nyt projekt, der hjælper udviklere med let at vedtage kryptografisk signatur i software.
dette nyt projekt understøttes af rekord gennemsigtighedsteknologier, da den stadig stigende industrielle adoptionsrate for open source-software, projektet, Sigstore sigter mod at forhindre et angreb på et offentligt softwarelager fra at injicere korrupt kode i forsyningskæden.
sigstore tillader softwareudviklere at underskrive sikkert softwareartifakter såsom versionfiler, containerbilleder og binære filer. Det nævnes, at underskrevne genstande opbevares i en manipulationssikker offentlig journal.
SigStore søger at gøre det muligt for udviklere at forstå og bekræfte oprindelsen og ægtheden af software, der er baseret på et ofte forskelligt sæt tilgange og dataformater. Eksisterende løsninger er ofte baseret på "fordøjelser" (hashes eller resultater af en hash-funktion) gemt på usikre systemer, som kan blive ødelagt og føre til forskellige angreb, såsom hash-udveksling eller hash-funktion, angreb rettet mod brugere.
Brug af tjenesten vil være gratis for alle softwareudviklere og -leverandører, og SigStore-samfundet vil udvikle koden og de operationelle værktøjer til sigstore. Red Hat, Google og Purdue University er blandt de grundlæggende medlemmer af projektet.
"Sigstore gør det muligt for alle open source-samfund at underskrive deres software og kombinerer herkomst, integritet og opdagelsesevne for at skabe en gennemsigtig og verificerbar softwareforsyningskæde," sagde Luke Hinds, sikkerhedschef, Red Hat CTO-kontor. "Ved at være vært for dette samarbejde hos Linux Foundation kan vi fremskynde vores arbejde med sigstore og støtte den fortsatte vedtagelse og virkning af open source software og udvikling."
”At sikre en softwareimplementering skal begynde med at sikre, at vi kører den software, som vi tror, vi har. sigstore repræsenterer en stor mulighed for at bringe mere tillid og gennemsigtighed i forsyningskæden til open source-software, ”sagde Josh Aas,
Argumenterer for, at den moderne softwareforsyningskæde er udsat for flere risici, projektet siger, at eksisterende værktøjer, der involverer folk, der mødes personligt for at underskrive nøgler, og som har fungeret godt så længe, kan ikke længere opnås i dagens miljø med geografisk spredte områder.
Det nævnes også, at der er meget få open source-projekter, der kryptografisk underskriver artefakter til softwareversion. Dette skyldes for en stor del de udfordringer, som softwareholdere står over for inden for nøglehåndtering, nøglekompromiser, tilbagekaldelse og distribution af offentlige nøgler og hash-artefakter. Dette betyder, at brugerne skal finde ud af, hvilke nøgler de kan stole på, og lære de nødvendige trin for at validere signaturen.
”Sigstore sigter mod at gøre alle versioner af open source-software verificerbare og lette verifikation af brugere. Forhåbentlig kan vi gøre dette så let som at afslutte vim, ”sagde Dan Lorenc, softwaretekniker på Googles open source-softwareteam.
Et andet problem er, hvordan hashes og offentlige nøgler distribueres: de gemmes ofte på potentielt hackede websteder eller i en README-fil placeret i et offentligt git-arkiv.
SigStore søger at tackle disse problemer ved at bruge kortvarige kortvarige nøgler med en rod af tillid hentet fra et åbent og kontrollerbart offentligt gennemsigtighedsregister. Den nye tjeneste hjælper udviklere og brugere med at forstå og bekræfte oprindelsen og ægtheden af softwaren med minimal overhead.
”Jeg er meget begejstret for et system som sigstore. Softwareøkosystemet har et presserende behov for et sådant system for at rapportere om status for forsyningskæden. Jeg tror med sigstore, som besvarer alle spørgsmål om softwarekilder og ejerskab, kan vi begynde at stille spørgsmål om softwaredestinationer, forbrugere, overholdelse (lovlig og ellers) for at identificere kriminelle netværk og sikre kritisk softwareinfrastruktur. ”, Sagde Santiago Torres-Arias