Die Nachricht wurde veröffentlicht Auf GitHub wurde ein Vorschlag zur Umsetzung zur Diskussion gestellt der Service Sigstore zum Überprüfen von Paketen mit digitalen Signaturen und führen Sie eine öffentliche Aufzeichnung, um die Authentizität beim Verteilen von Veröffentlichungen zu bestätigen.
Über den Vorschlag wird erwähnt, dass die Verwendung von Sigstore ermöglicht die Implementierung eines zusätzlichen Schutzniveaus gegen Angriffe, die darauf abzielen, Softwarekomponenten und Abhängigkeiten (Supply Chain) zu ersetzen.
Die Sicherung der Softwarelieferkette ist derzeit eine der größten Sicherheitsherausforderungen unserer Branche. Dieser Vorschlag ist ein wichtiger nächster Schritt, aber eine wirkliche Lösung dieser Herausforderung erfordert Engagement und Investitionen aus der gesamten Gemeinschaft …
Diese Änderungen tragen dazu bei, Open-Source-Verbraucher vor Angriffen auf die Softwarelieferkette zu schützen. mit anderen Worten, wenn böswillige Benutzer versuchen, Malware zu verbreiten, indem sie das Konto eines Betreuers verletzen und bösartige Software zu den Open-Source-Abhängigkeiten hinzufügen, die von vielen Entwicklern verwendet werden.
Die implementierte Änderung schützt beispielsweise Projektquellen für den Fall, dass das Entwicklerkonto einer der NPM-Abhängigkeiten kompromittiert wird und ein Angreifer ein Paketupdate mit bösartigem Code generiert.
Es ist erwähnenswert, dass Sigstore nicht nur ein weiteres Codesignatur-Tool ist, da sein normaler Ansatz darin besteht, die Notwendigkeit der Verwaltung von Signaturschlüsseln zu beseitigen, indem kurzfristige Schlüssel auf der Grundlage von OpenID Connect (OIDC)-Identitäten ausgestellt und gleichzeitig die Aktionen aufgezeichnet werden in einem unveränderlichen Ledger namens rekor, zusätzlich zu dem Sigstore eine eigene Zertifizierungsstelle namens Fulcio hat
Dank des neuen Schutzniveaus Entwickler können das generierte Paket mit dem verwendeten Quellcode verknüpfen und die Build-Umgebung, was dem Benutzer die Möglichkeit gibt, zu überprüfen, ob der Inhalt des Pakets dem Inhalt der Quellen im Hauptprojekt-Repository entspricht.
Die Verwendung von Sigstore vereinfacht den Schlüsselverwaltungsprozess erheblich und eliminiert die mit der Registrierung, dem Widerruf und der kryptografischen Schlüsselverwaltung verbundenen Komplexitäten. Sigstore bewirbt sich selbst als Let’s Encrypt für Code und bietet Zertifikate zum digitalen Signieren von Code und Tools zur Automatisierung der Überprüfung.
Wir eröffnen heute einen neuen Request for Comments (RFC), der sich mit der Bindung eines Pakets an sein Quell-Repository und seine Build-Umgebung befasst. Wenn sich Paketbetreuer für dieses System entscheiden, können die Verbraucher ihrer Pakete mehr darauf vertrauen, dass der Inhalt des Pakets mit dem Inhalt des verknüpften Repositorys übereinstimmt.
Anstelle von Dauerschlüsseln Sigstore verwendet kurzlebige ephemere Schlüssel, die basierend auf Berechtigungen generiert werden. Das für die Signatur verwendete Material wird in einer änderungsgeschützten öffentlichen Aufzeichnung wiedergegeben, sodass Sie sicherstellen können, dass der Autor der Signatur genau der ist, für den er sich ausgibt, und dass die Signatur von demselben verantwortlichen Teilnehmer erstellt wurde.
Das Projekt wurde frühzeitig von anderen Paketmanager-Ökosystemen übernommen. Mit dem heutigen RFC schlagen wir vor, Unterstützung für die Ende-zu-Ende-Signierung von npm-Paketen mit Sigstore hinzuzufügen. Dieser Prozess würde die Generierung von Zertifizierungen darüber umfassen, wo, wann und wie das Paket erstellt wurde, damit es später verifiziert werden kann.
Um die Integrität zu gewährleisten und Schutz vor Datenkorruption, Es wird eine Merkle-Tree-Baumstruktur verwendet bei dem jeder Zweig alle zugrunde liegenden Zweige und Knoten über einen gemeinsamen Hash (Baum) prüft. Durch einen nachgestellten Hash kann der Benutzer die Korrektheit des gesamten Vorgangsverlaufs sowie die Korrektheit vergangener Datenbankzustände überprüfen (der Root-Check-Hash des neuen Datenbankzustands wird unter Berücksichtigung des vergangenen Zustands berechnet).
Abschließend sei noch erwähnt, dass Sigstore gemeinsam von der Linux Foundation, Google, Red Hat, der Purdue University und Chainguard entwickelt wurde.
Wenn Sie mehr darüber erfahren möchten, können Sie die Details in nachlesen den folgenden Link.