Püüdes kaitsta vaba tarkvara tarneahelat, Linuxi sihtasutus (mittetulundusühing, mis edendab innovatsiooni avatud lähtekoodiga) on käivitamiseks teinud koostööd Red Hati, Google'i ja Purdue ülikooliga uus projekt, mis aitab arendajatel hõlpsasti krüptograafilist allkirja tarkvaras üle võtta.
see uus projekt toetab rekordilised läbipaistvustehnoloogiad, kuna avatud lähtekoodiga tarkvara, töö, Sigstore eesmärk on takistada rünnakut avalikule tarkvarahoidlale korrumpeerunud koodi tarneahelasse sisestamist.
sigstore võimaldab tarkvaraarendajatel turvaliselt alla kirjutada tarkvara artefaktid, nagu versioonifailid, konteineripildid ja kahendfailid. Mainitakse, et allkirjastatud esemeid hoitakse võltsimiskindlas avalikus ajakirjas.
SigStore püüab võimaldada arendajatel mõista ja kinnitada tarkvara päritolu ja autentsust, mis põhineb sageli erinevatel lähenemisviisidel ja andmevormingutel. Olemasolevad lahendused põhinevad sageli ebakindlatesse süsteemidesse salvestatud "kokkuvõtetel" (räsi või räsifunktsiooni tulemused), mis võivad olla rikutud ja põhjustada mitmesuguseid rünnakuid, nagu räsivahetus või räsifunktsioon, kasutajate vastu suunatud rünnakud.
Teenuse kasutamine on kõigile tarkvaraarendajatele ja müüjatele tasutaning SigStore'i kogukond töötab välja sigstore'i koodi ja operatiivsed tööriistad. Red Hat, Google ja Purdue ülikool on projekti asutajaliikmed.
"Sigstore võimaldab kõigil avatud lähtekoodiga kogukondadel oma tarkvara allkirjastada ning ühendab päritolu, terviklikkuse ja leitavuse, et luua läbipaistev ja kontrollitav tarkvara tarneahel," ütles Red Hat CTO büroo turvaülem Luke Hinds. "Võimaldades seda koostööd Linuxi fondis, saame kiirendada oma tööd sigstore'is ning toetada avatud lähtekoodiga tarkvara ja arenduse jätkuvat kasutuselevõttu ja mõju."
„Tarkvara juurutamise tagamine peaks algama veendumast, et kasutame tarkvara, mis meil on olemas. sigstore on suurepärane võimalus tuua avatud lähtekoodiga tarkvara tarneahelasse rohkem usaldust ja läbipaistvust, ”ütles Josh Aas,
Väites, et kaasaegne tarkvara tarneahel on avatud mitmele riskile, projekt ütleb, et olemasolevad tööriistad, mis hõlmab võtmete allkirjastamiseks isiklikult kohtuvaid inimesi ja mis on nii kaua hästi töötanud, geograafiliselt hajutatud aladega tänases keskkonnas enam saavutada ei saa.
Samuti mainitakse seda on väga vähe avatud lähtekoodiga projekte, mis krüptograafiliselt allkirjastavad tarkvaraversiooni esemeid. See on suuresti tingitud väljakutsetest, mida tarkvara hooldajad silmitsi seisavad võtmete haldamisel, võtmekompromissidega, avalike võtmete ja räsiobjektide tühistamise ja levitamisega. See tähendab, et kasutajad peavad välja selgitama, milliseid võtmeid usaldada, ja õppima allkirja kinnitamiseks vajalikke samme.
„Sigstore'i eesmärk on muuta kõik avatud lähtekoodiga tarkvara versioonid kontrollitavaks ja hõlbustada kasutajate kontrollimist. Loodetavasti saame selle muuta sama lihtsaks kui vim-ist väljumine, ”ütles Dan Lorenc, Google'i avatud lähtekoodiga tarkvara turvameeskonna tarkvarainsener.
Teine probleem on see, kuidas räsi ja avalikke võtmeid jaotatakse: need on sageli salvestatud potentsiaalselt häkkinud veebisaitidele või README-faili, mis asub avalikus git-hoidlas.
SigStore püüab neid probleeme lahendada, kasutades lühiajalisi lühiajalisi võtmeid, mille usalduse juur on avatud ja kontrollitav avalik läbipaistvusregister. Uus teenus aitab arendajatel ja kasutajatel mõista ja kinnitada tarkvara päritolu ja autentsust minimaalse üldkuluga.
"Olen väga põnevil sellise süsteemi üle nagu sigstore. Tarkvaraökosüsteem vajab sellist süsteemi kiiresti, et tarneahela olekust aru anda. Ma arvan, et sigstore'iga, mis vastab kõigile tarkvaraallikate ja omandiõiguse küsimustele, võime hakata esitama küsimusi tarkvara sihtkohtade, tarbijate, vastavuse kohta (seaduslik ja muul viisil), kuritegelike võrgustike tuvastamiseks ja kriitilise tähtsusega tarkvara infrastruktuuride kindlustamiseks. ", Ütles Santiago Torres-Arias