Pyrkiessään turvaamaan vapaan ohjelmiston toimitusketjun, Linux-säätiö (voittoa tavoittelematon organisaatio, joka tukee innovaatioita avoimen lähdekoodin kautta) on aloittanut yhteistyön Red Hatin, Googlen ja Purdue Universityn kanssa uusi projekti, jonka avulla kehittäjät voivat helposti ottaa käyttöön salauksen allekirjoituksen ohjelmistoissa.
tämä uusi projekti tukee ennätykselliset läpinäkyvyystekniikat, koska avoimen lähdekoodin ohjelmistojen, teollisuuden Sigstore pyrkii estämään julkiseen ohjelmistovarastoon kohdistuvan hyökkäyksen vioittamasta koodia toimitusketjuun.
sigstore antaa ohjelmistokehittäjien allekirjoittaa turvallisesti ohjelmisto-artefaktit, kuten versiotiedostot, säilökuvat ja binääritiedostot. Mainitaan, että allekirjoitetut tuotteet tallennetaan väärinkäytön estävään julkiseen päiväkirjaan.
SigStore pyrkii antamaan kehittäjille mahdollisuuden ymmärtää ja vahvistaa usein erilaisiin lähestymistapoihin ja tietomuotoihin perustuvan ohjelmiston alkuperä ja aitous. Olemassa olevat ratkaisut perustuvat usein epävarmoihin järjestelmiin tallennettuihin "yhteenvetoihin" (hash tai hash-toiminnon tulokset), jotka voivat vioittua ja johtaa erilaisiin hyökkäyksiin, kuten hash-vaihto- tai hash-toimintoihin, käyttäjiin kohdistuviin hyökkäyksiin.
Palvelun käyttö on ilmainen kaikille ohjelmistokehittäjille ja toimittajille, ja SigStore-yhteisö kehittää koodin ja toimintatyökalut sigstoreen. Red Hat, Google ja Purdue University ovat hankkeen perustajajäseniä.
"Sigstore antaa kaikille avoimen lähdekoodin yhteisöille mahdollisuuden allekirjoittaa ohjelmistonsa ja yhdistää alkuperän, eheyden ja löydettävyyden luodakseen avoimen ja todennettavissa olevan ohjelmistojen toimitusketjun", kertoi Red Hat CTO -toimiston turvallisuusjohtaja Luke Hinds. "Isännöimällä tätä yhteistyötä Linux Foundationissa voimme nopeuttaa työtämme sigstore-palvelussa ja tukea avoimen lähdekoodin ohjelmistojen ja kehityksen jatkuvaa käyttöönottoa ja vaikutusta."
"Ohjelmiston toteutuksen turvaamisen tulisi alkaa varmistamalla, että käytämme ohjelmistoa, jonka uskomme olevan. sigstore on loistava tilaisuus tuoda lisää luottamusta ja avoimuutta avoimen lähdekoodin ohjelmistojen toimitusketjuun ”, sanoi Josh Aas,
Väittäen, että nykyaikainen ohjelmistojen toimitusketju on alttiina monille riskeille, projektissa sanotaan, että olemassa olevat työkalut, joka sisältää ihmisiä, jotka tapaavat henkilökohtaisesti allekirjoittamaan avaimet, ja jotka ovat toimineet hyvin kauan, ei voida enää saavuttaa nykypäivän ympäristössä, jossa on maantieteellisesti hajautettuja alueita.
Lisäksi mainitaan se on hyvin vähän avoimen lähdekoodin projekteja, jotka salaavat ohjelmistoversioesineitä. Tämä johtuu suurelta osin haasteista, joita ohjelmistojen ylläpitäjät kohtaavat avainten hallinnassa, avainkompromisseista, julkisten avainten ja hash-artefaktien kumoamisesta ja jakamisesta. Tämä tarkoittaa, että käyttäjien on selvitettävä, mihin avaimiin luottaa, ja opittava allekirjoituksen vahvistamiseksi tarvittavat vaiheet.
”Sigstore pyrkii tekemään kaikista avoimen lähdekoodin ohjelmistoversioista todennettavissa ja helpottamaan käyttäjien todennusta. Toivottavasti voimme tehdä tämän yhtä helpoksi kuin vimistä poistuminen ”, kertoi Dan Lorenc, Googlen avoimen lähdekoodin ohjelmistojen tietoturvaryhmän ohjelmistosuunnittelija.
Toinen ongelma on se, miten hashit ja julkiset avaimet jaetaan: ne tallennetaan usein mahdollisesti hakkeroituihin verkkosivustoihin tai README-tiedostoon, joka sijaitsee julkisessa git-arkistossa.
SigStore pyrkii ratkaisemaan nämä ongelmat käyttämällä lyhytaikaisia lyhytaikaisia avaimia, joiden luotettavuus on peräisin avoimesta ja todennettavasta julkisesta avoimuusrekisteristä. Uusi palvelu auttaa kehittäjiä ja käyttäjiä ymmärtämään ja vahvistamaan ohjelmiston alkuperän ja aitouden mahdollisimman vähän.
”Olen hyvin innoissani sigstoren kaltaisesta järjestelmästä. Ohjelmistoekosysteemi tarvitsee kipeästi tällaisen järjestelmän toimittaakseen toimitusketjun tilan. Luulen, että sigstorella, joka vastaa kaikkiin ohjelmistolähteitä ja omistajuutta koskeviin kysymyksiin, voimme alkaa kysyä ohjelmistokohteita, kuluttajia, vaatimustenmukaisuutta (laillista ja muuta), rikollisten verkostojen tunnistamista ja kriittisten ohjelmistoinfrastruktuurien suojaamista. ", Santiago Torres-Arias