Σε μια προσπάθεια να εξασφαλιστεί η αλυσίδα εφοδιασμού δωρεάν λογισμικού, το Linux Foundation (ο μη κερδοσκοπικός οργανισμός που προωθεί την καινοτομία μέσω ανοιχτού κώδικα) έχει συνεργαστεί με την Red Hat, την Google και το Purdue University για να ξεκινήσουν ένα νέο έργο που βοηθά τους προγραμματιστές να υιοθετούν εύκολα κρυπτογραφική υπογραφή στο λογισμικό.
αυτό νέο έργο υποστηρίζεται από τεχνολογίες διαφάνειας ρεκόρ, καθώς το συνεχώς αυξανόμενο ποσοστό βιομηχανικής υιοθέτησης λογισμικού ανοιχτού κώδικα, το έργο, Το Sigstore, στοχεύει να αποτρέψει μια επίθεση σε ένα δημόσιο αποθετήριο λογισμικού από την έγχυση κατεστραμμένου κώδικα στην αλυσίδα εφοδιασμού.
sigstore θα επιτρέψει στους προγραμματιστές λογισμικού να υπογράψουν με ασφάλεια τεχνουργήματα λογισμικού όπως αρχεία έκδοσης, εικόνες κοντέινερ και δυαδικά αρχεία. Αναφέρεται ότι τα υπογεγραμμένα αντικείμενα αποθηκεύονται σε ένα δημόσιο περιοδικό χωρίς παραβίαση.
Το SigStore επιδιώκει να επιτρέψει στους προγραμματιστές να κατανοήσουν και να επιβεβαιώσουν την προέλευση και την αυθεντικότητα του λογισμικού που βασίζεται σε ένα συχνά διαφορετικό σύνολο προσεγγίσεων και μορφών δεδομένων. Οι υπάρχουσες λύσεις βασίζονται συχνά σε "χωνεύσεις" (κατακερματισμούς ή αποτελέσματα μιας λειτουργίας κατακερματισμού) που είναι αποθηκευμένα σε ανασφαλή συστήματα, τα οποία μπορεί να καταστραφούν και να οδηγήσουν σε διάφορες επιθέσεις, όπως ανταλλαγή κατακερματισμού ή λειτουργία κατακερματισμού, επιθέσεις που στρέφονται εναντίον των χρηστών.
Η χρήση της υπηρεσίας θα είναι δωρεάν σε όλους τους προγραμματιστές και τους προμηθευτές λογισμικού, και η κοινότητα του SigStore θα αναπτύξει τον κώδικα και τα λειτουργικά εργαλεία για το sigstore. Το Red Hat, το Google και το Πανεπιστήμιο Purdue είναι από τα ιδρυτικά μέλη του έργου.
"Το Sigstore δίνει τη δυνατότητα σε όλες τις κοινότητες ανοιχτού κώδικα να υπογράψουν το λογισμικό τους και συνδυάζει την προέλευση, την ακεραιότητα και τη δυνατότητα εντοπισμού για να δημιουργήσει μια διαφανή και επαληθεύσιμη αλυσίδα εφοδιασμού λογισμικού", δήλωσε ο Luke Hinds, επικεφαλής ασφαλείας, γραφείο Red Hat CTO. «Με τη φιλοξενία αυτής της συνεργασίας στο Ίδρυμα Linux, μπορούμε να επιταχύνουμε τη δουλειά μας στο sigstore και να υποστηρίξουμε τη συνεχή υιοθέτηση και τον αντίκτυπο του λογισμικού και της ανάπτυξης ανοιχτού κώδικα».
«Η εξασφάλιση μιας εφαρμογής λογισμικού θα πρέπει να ξεκινήσει με τη διασφάλιση ότι εκτελούμε το λογισμικό που πιστεύουμε ότι έχουμε. Το sigstore αποτελεί μια μεγάλη ευκαιρία για μεγαλύτερη εμπιστοσύνη και διαφάνεια στην αλυσίδα εφοδιασμού λογισμικού ανοιχτού κώδικα ", δήλωσε ο Josh Aas,
Υποστηρίζοντας ότι η σύγχρονη αλυσίδα εφοδιασμού λογισμικού εκτίθεται σε πολλαπλούς κινδύνους, το έργο λέει ότι τα υπάρχοντα εργαλεία, που περιλαμβάνουν άτομα που συναντιούνται αυτοπροσώπως για να υπογράψουν κλειδιά, και που λειτούργησαν καλά για τόσο καιρό, δεν μπορεί πλέον να επιτευχθεί στο σημερινό περιβάλλον με γεωγραφικά διασκορπισμένες περιοχές.
Επίσης, αναφέρεται ότι Υπάρχουν πολύ λίγα έργα ανοιχτού κώδικα που υπογράφουν κρυπτογραφικά τεχνουργήματα έκδοσης λογισμικού. Αυτό οφείλεται σε μεγάλο βαθμό στις προκλήσεις που αντιμετωπίζουν οι συντηρητές λογισμικού στη διαχείριση των κλειδιών, στους βασικούς συμβιβασμούς, στην ανάκληση και τη διανομή δημόσιων κλειδιών και αντικειμένων κατακερματισμού. Αυτό σημαίνει ότι οι χρήστες πρέπει να καταλάβουν ποια κλειδιά πρέπει να εμπιστεύονται και να μάθουν τα βήματα που απαιτούνται για την επικύρωση της υπογραφής.
«Η Sigstore στοχεύει να επαληθεύσει όλες τις εκδόσεις λογισμικού ανοιχτού κώδικα και να διευκολύνει την επαλήθευση από τους χρήστες. Ας ελπίσουμε ότι μπορούμε να το κάνουμε τόσο εύκολο όσο το βγαίνοντας vim », δήλωσε ο Dan Lorenc, μηχανικός λογισμικού στην ομάδα ασφάλειας λογισμικού ανοιχτού κώδικα της Google.
Ένα άλλο πρόβλημα είναι ο τρόπος διανομής κατακερματισμού και δημόσιων κλειδιών - συχνά αποθηκεύονται σε δυνητικά παραβιασμένους ιστότοπους ή σε αρχείο README που βρίσκεται σε δημόσιο αποθετήριο git.
Το SigStore προσπαθεί να αντιμετωπίσει αυτά τα ζητήματα χρησιμοποιώντας σύντομα εφήμερα κλειδιά με μια ρίζα εμπιστοσύνης που προέρχεται από ένα ανοιχτό και επαληθεύσιμο δημόσιο μητρώο διαφάνειας. Η νέα υπηρεσία θα βοηθήσει τους προγραμματιστές και τους χρήστες να κατανοήσουν και να επιβεβαιώσουν την προέλευση και την αυθεντικότητα του λογισμικού, με ελάχιστη επιβάρυνση.
«Είμαι πολύ ενθουσιασμένος για ένα σύστημα όπως το sigstore. Το οικοσύστημα του λογισμικού χρειάζεται επειγόντως ένα τέτοιο σύστημα για να αναφέρει την κατάσταση της αλυσίδας εφοδιασμού. Νομίζω ότι με το sigstore, το οποίο απαντά σε όλες τις ερωτήσεις σχετικά με τις πηγές λογισμικού και την ιδιοκτησία, μπορούμε να αρχίσουμε να κάνουμε ερωτήσεις σχετικά με τους προορισμούς λογισμικού, τους καταναλωτές, τη συμμόρφωση (νόμιμα και αλλιώς), να εντοπίσουμε εγκληματικά δίκτυα και να ασφαλίσουμε κρίσιμες υποδομές λογισμικού. ", Δήλωσε ο Santiago Torres-Arias