Um die Lieferkette für freie Software zu sichern, hat die Linux Foundation (die gemeinnützige Organisation, die Innovation durch Open Source fördert) hat sich mit Red Hat, Google und der Purdue University zusammengetan, um zu starten Ein neues Projekt, mit dem Entwickler Kryptografiesignaturen problemlos in Software übernehmen können.
diese neues Projekt wird durch Rekordtransparenztechnologien unterstützt, da die stetig steigende industrielle Akzeptanzrate von Open-Source-Software, das Projekt, Sigstore soll verhindern, dass ein Angriff auf ein öffentliches Software-Repository beschädigten Code in die Lieferkette einfügt.
signstore ermöglicht es Softwareentwicklern, sicher zu unterschreiben Software-Artefakte wie Versionsdateien, Container-Images und Binärdateien. Es wird erwähnt, dass signierte Artikel in einem manipulationssicheren öffentlichen Journal gespeichert werden.
SigStore soll Entwicklern ermöglichen, die Herkunft und Authentizität von Software zu verstehen und zu bestätigen, die auf häufig unterschiedlichen Ansätzen und Datenformaten basiert. Bestehende Lösungen basieren häufig auf "Digests" (Hash oder Ergebnisse einer Hash-Funktion), die auf unsicheren Systemen gespeichert sind. Diese können beschädigt werden und zu verschiedenen Angriffen führen, z. B. Hash-Austausch oder Hash-Funktion, Angriffe gegen Benutzer.
Die Nutzung des Dienstes ist für alle Softwareentwickler und -anbieter kostenlosund die SigStore-Community wird den Code und die operativen Tools für den Sigstore entwickeln. Red Hat, Google und Purdue University gehören zu den Gründungsmitgliedern des Projekts.
"Sigstore ermöglicht allen Open-Source-Communities, ihre Software zu signieren, und kombiniert Herkunft, Integrität und Auffindbarkeit, um eine transparente und überprüfbare Software-Lieferkette zu schaffen", sagte Luke Hinds, Chief Security Officer des CTO-Büros von Red Hat. "Durch das Hosting dieser Zusammenarbeit bei der Linux Foundation können wir unsere Arbeit am Sigstore beschleunigen und die weitere Einführung und Wirkung von Open Source-Software und -Entwicklung unterstützen."
„Das Sichern einer Softwareimplementierung sollte damit beginnen, sicherzustellen, dass wir die Software ausführen, von der wir glauben, dass wir sie haben. sigstore ist eine großartige Gelegenheit, der Open-Source-Software-Lieferkette mehr Vertrauen und Transparenz zu verleihen “, sagte Josh Aas.
Argumentieren, dass die moderne Software-Lieferkette mehreren Risiken ausgesetzt ist, Das Projekt sagt, dass vorhandene Tools, bei denen sich Menschen persönlich treffen, um Schlüssel zu unterschreiben, und die so lange gut funktioniert haben, kann in der heutigen Umgebung mit geografisch verteilten Gebieten nicht mehr erreicht werden.
Es wird auch erwähnt, dass Es gibt nur sehr wenige Open Source-Projekte, die Softwareversionsartefakte kryptografisch signieren. Dies ist zum großen Teil auf die Herausforderungen zurückzuführen, denen Software-Betreuer bei der Schlüsselverwaltung, bei Schlüsselkompromissen, beim Widerruf und der Verteilung von öffentlichen Schlüsseln und Hash-Artefakten gegenüberstehen. Dies bedeutet, dass Benutzer herausfinden müssen, welchen Schlüsseln sie vertrauen müssen, und die zur Validierung der Signatur erforderlichen Schritte lernen müssen.
„Sigstore zielt darauf ab, alle Versionen von Open Source-Software überprüfbar zu machen und die Überprüfung durch Benutzer zu erleichtern. Hoffentlich können wir dies so einfach wie das Beenden von vim machen “, sagte Dan Lorenc, Softwareentwickler im Open-Source-Software-Sicherheitsteam von Google.
Ein weiteres Problem ist die Verteilung von Hashes und öffentlichen Schlüsseln: Sie werden häufig auf potenziell gehackten Websites oder in einer README-Datei in einem öffentlichen Git-Repository gespeichert.
SigStore versucht, diese Probleme zu lösen, indem kurzlebige, kurzlebige Schlüssel verwendet werden, deren Vertrauensbasis aus einem offenen und überprüfbaren öffentlichen Transparenzregister stammt. Der neue Service hilft Entwicklern und Benutzern, die Herkunft und Authentizität der Software mit minimalem Aufwand zu verstehen und zu bestätigen.
„Ich freue mich sehr über ein System wie Sigstore. Das Software-Ökosystem benötigt dringend ein solches System, um über den Status der Lieferkette zu berichten. Ich denke, mit Sigstore, das alle Fragen zu Softwarequellen und -besitz beantwortet, können wir Fragen zu Softwarezielen, Verbrauchern, Compliance (rechtlich und anderweitig) stellen, um kriminelle Netzwerke zu identifizieren und kritische Software-Infrastrukturen zu sichern. “, Sagte Santiago Torres-Arias