Uutinen julkaistiin siitä GitHubissa on esitetty ehdotus keskusteltavaksi sen toteuttamiseksi palvelu Sigstore tarkistaa paketit digitaalisilla allekirjoituksilla ja ylläpitää julkista rekisteriä aitouden varmistamiseksi julkaisuja jaettaessa.
Ehdotuksesta mainitaan, että Sigstoren käyttö mahdollistaa lisäsuojan tason käyttöönoton hyökkäyksiä vastaan, joiden tarkoituksena on korvata ohjelmistokomponentteja ja riippuvuuksia (toimitusketju).
Ohjelmistojen toimitusketjun turvaaminen on tällä hetkellä yksi toimialamme suurimmista turvallisuushaasteista. Tämä ehdotus on tärkeä seuraava askel, mutta tämän haasteen todellinen ratkaiseminen vaatii sitoutumista ja investointeja koko yhteisöltä…
Nämä muutokset auttavat suojaamaan avoimen lähdekoodin kuluttajia ohjelmistojen toimitusketjun hyökkäyksiltä; toisin sanoen, kun pahantahtoiset käyttäjät yrittävät levittää haittaohjelmia murtautumalla ylläpitäjän tilille ja lisäämällä haittaohjelmia monien kehittäjien käyttämiin avoimen lähdekoodin riippuvuuksiin.
Toteutettu muutos esimerkiksi suojaa projektilähteitä, jos jonkin NPM:n riippuvuuden kehittäjätili vaarantuu ja hyökkääjä luo pakettipäivityksen haitallisella koodilla.
On syytä mainita, että Sigstore ei ole vain yksi koodin allekirjoitustyökalu, sillä sen normaali lähestymistapa on poistaa allekirjoitusavaimien hallintatarve antamalla lyhytaikaisia avaimia OpenID Connect (OIDC) -identiteeteihin perustuen, samalla kun tallentaa toiminnot. muuttumattomassa kirjanpidossa nimeltä rekor, jonka lisäksi Sigstorella on oma Fulcio-niminen varmenneviranomainen
Uuden suojaustason ansiosta kehittäjät voivat linkittää luodun paketin käytettyyn lähdekoodiin ja rakennusympäristö, jolloin käyttäjä voi varmistaa, että paketin sisältö vastaa pääprojektin arkistossa olevien lähteiden sisältöä.
Sigstoren käyttö yksinkertaistaa huomattavasti avaintenhallintaprosessia ja poistaa rekisteröintiin, peruuttamiseen ja salausavainten hallintaan liittyvät monimutkaiset ongelmat. Sigstore mainostaa itseään nimellä Let's Encrypt for code, joka tarjoaa varmenteita digitaaliseen allekirjoitukseen ja työkaluja automatisoimaan vahvistusta.
Avaamme tänään uuden Request for Comments (RFC) -pyynnön, jossa tarkastellaan paketin sitomista sen lähdetietovarastoon ja rakennusympäristöön. Kun pakettien ylläpitäjät valitsevat tämän järjestelmän, heidän pakettiensa kuluttajat voivat luottaa enemmän siihen, että paketin sisältö vastaa linkitetyn arkiston sisältöä.
Pysyvien avainten sijaan Sigstore käyttää lyhytikäisiä lyhytaikaisia avaimia, jotka luodaan käyttöoikeuksien perusteella. Allekirjoitukseen käytetty materiaali näkyy muutoksilta suojatussa julkisessa tietueessa, jolloin voit varmistaa, että allekirjoituksen kirjoittaja on juuri se, joka he sanovat olevansa ja että allekirjoituksen on laatinut sama osallistuja, joka oli vastuussa.
Projekti on otettu käyttöön varhaisessa vaiheessa muiden paketinhallintaekosysteemien kanssa. Tämän päivän RFC:ssä ehdotamme tuen lisäämistä npm-pakettien päästä-päähän allekirjoittamiseen Sigstoren avulla. Tämä prosessi sisältäisi sertifikaattien luomisen siitä, missä, milloin ja miten paketti on luotu, jotta se voidaan tarkistaa myöhemmin.
Eheyden varmistamiseksi ja suojaus tietojen korruptiota vastaan, käytetään Merkle Tree -puurakennetta jossa jokainen haara tarkistaa kaikki taustalla olevat haarat ja solmut yhteisen hashin (puun) avulla. Jäljellä olevalla hashilla käyttäjä voi varmistaa koko toimintahistorian oikeellisuuden sekä aiempien tietokannan tilojen oikeellisuuden (uuden tietokannan tilan juuritarkistushash lasketaan aiemman tilan perusteella).
Lopuksi on syytä mainita, että Sigstorea kehittävät yhdessä Linux Foundation, Google, Red Hat, Purdue University ja Chainguard.
Jos haluat tietää siitä lisää, voit tutustua yksityiskohtiin osoitteessa seuraava linkki.