मुफ्त सॉफ्टवेयर आपूर्ति श्रृंखला को सुरक्षित करने के प्रयास में, लिनक्स फाउंडेशन (खुले स्रोत के माध्यम से नवाचार को बढ़ावा देने वाला गैर-लाभकारी संगठन) लॉन्च करने के लिए Red Hat, Google और Purdue University के साथ भागीदारी की है डेवलपर्स को सॉफ्टवेयर में आसानी से क्रिप्टोग्राफिक हस्ताक्षर अपनाने में मदद करने के लिए एक नई परियोजना।
यह नई परियोजना ओपन सोर्स सॉफ्टवेयर की बढ़ती औद्योगिक गोद लेने की दर के रूप में रिकॉर्ड पारदर्शिता प्रौद्योगिकियों द्वारा समर्थित है, परियोजना, सिगस्टोर, का उद्देश्य सार्वजनिक सॉफ़्टवेयर रिपॉजिटरी पर एक हमले को भ्रष्ट कोड को आपूर्ति श्रृंखला में इंजेक्ट करने से रोकना है।
सिगस्टोर सॉफ्टवेयर डेवलपर्स को सुरक्षित रूप से साइन इन करने की अनुमति देगा सॉफ़्टवेयर कलाकृतियों जैसे कि संस्करण फ़ाइलें, कंटेनर छवियां और बायनेरिज़। यह उल्लेख किया गया है कि हस्ताक्षरित आइटम एक छेड़छाड़-प्रूफ सार्वजनिक पत्रिका में संग्रहीत हैं।
सिगस्टोर ने डेवलपर्स को सॉफ़्टवेयर की उत्पत्ति और प्रामाणिकता को समझने और पुष्टि करने में सक्षम बनाने का प्रयास किया है जो अक्सर दृष्टिकोण और डेटा प्रारूपों के एक अलग सेट पर आधारित होता है। मौजूदा समाधान अक्सर "डाइजेस्ट" (हैश फ़ंक्शन के हैश या परिणाम) पर आधारित होते हैं, जो असुरक्षित सिस्टम पर संग्रहीत होते हैं, जो दूषित हो सकते हैं और विभिन्न हमलों जैसे कि हैश एक्सचेंज या हैश फ़ंक्शन, उपयोगकर्ताओं के खिलाफ निर्देशित हमले।
सेवा का उपयोग सभी सॉफ्टवेयर डेवलपर्स और विक्रेताओं के लिए मुफ्त होगा, और सिगस्टोर समुदाय सिगस्टोर के लिए कोड और ऑपरेशनल टूल विकसित करेगा। Red Hat, Google और Purdue University परियोजना के संस्थापक सदस्यों में से हैं।
रेड हैट सीटीओ कार्यालय के मुख्य सुरक्षा अधिकारी ल्यूक हिंड्स ने कहा, "सिगस्टोर सभी खुले स्रोत समुदायों को अपने सॉफ़्टवेयर पर हस्ताक्षर करने में सक्षम बनाता है, जो पारदर्शी और सत्यापन योग्य सॉफ्टवेयर आपूर्ति श्रृंखला बनाने के लिए सिद्धता, अखंडता और खोजशीलता को जोड़ती है।" "लिनक्स फाउंडेशन में इस सहयोग की मेजबानी करके, हम सिगस्टोर पर अपने काम में तेजी ला सकते हैं और ओपन सोर्स सॉफ्टवेयर और विकास के निरंतर गोद लेने और प्रभाव का समर्थन कर सकते हैं।"
“एक सॉफ्टवेयर कार्यान्वयन को सुरक्षित करना यह सुनिश्चित करने के साथ शुरू होना चाहिए कि हम उस सॉफ़्टवेयर को चला रहे हैं जो हमें लगता है कि हमारे पास है। सिगस्टोर खुले स्रोत सॉफ़्टवेयर आपूर्ति श्रृंखला में अधिक विश्वास और पारदर्शिता लाने के लिए एक महान अवसर का प्रतिनिधित्व करता है, "जोश आस ने कहा,"
यह तर्क देते हुए कि आधुनिक सॉफ्टवेयर आपूर्ति श्रृंखला कई जोखिमों के संपर्क में है, परियोजना का कहना है कि मौजूदा उपकरण, जिसमें चाबियों पर हस्ताक्षर करने के लिए लोगों की बैठक शामिल है, और जो इतने लंबे समय तक अच्छी तरह से काम कर चुके हैं, भौगोलिक रूप से बिखरे हुए क्षेत्रों के साथ आज के परिवेश में प्राप्त नहीं किया जा सकता है.
इसके अलावा, यह उल्लेख किया गया है कि बहुत कम खुले स्रोत परियोजनाएं हैं जो क्रिप्टोग्राफिक रूप से सॉफ़्टवेयर संस्करण कलाकृतियों पर हस्ताक्षर करती हैं। यह प्रमुख प्रबंधन, प्रमुख समझौता, निरस्तीकरण और सार्वजनिक कुंजियों और हवेलियों की कलाकृतियों के वितरण में सामना करने वाले सॉफ्टवेयर में चुनौतियों का एक बड़ा हिस्सा है। इसका मतलब यह है कि उपयोगकर्ताओं को यह पता लगाना होगा कि हस्ताक्षर को मान्य करने के लिए किन कदमों पर भरोसा करना चाहिए और सीखना चाहिए।
“सिगस्टोर का उद्देश्य खुले स्रोत सॉफ़्टवेयर के सभी संस्करणों को सत्यापन योग्य बनाना और उपयोगकर्ताओं द्वारा सत्यापन की सुविधा प्रदान करना है। उम्मीद है कि हम इसे वीआईएम से बाहर निकलने जितना आसान बना सकते हैं।
एक अन्य समस्या यह है कि कैसे हैश और सार्वजनिक कुंजी वितरित की जाती हैं: वे अक्सर संभावित हैक की गई वेबसाइटों पर संग्रहीत होते हैं या किसी सार्वजनिक गिट रिपॉजिटरी में स्थित README फाइल में।
SigStore एक खुले और सत्यापन योग्य सार्वजनिक पारदर्शिता रजिस्ट्री से खींचे गए विश्वास की जड़ के साथ अल्पकालिक अल्पकालिक कुंजियों का उपयोग करके इन मुद्दों को संबोधित करना चाहता है। नई सेवा डेवलपर्स और उपयोगकर्ताओं को न्यूनतम ओवरहेड के साथ सॉफ्टवेयर की उत्पत्ति और प्रामाणिकता को समझने और पुष्टि करने में मदद करेगी।
“मैं सिगस्टोर जैसी प्रणाली को लेकर बहुत उत्साहित हूं। सॉफ्टवेयर पारिस्थितिकी तंत्र को आपूर्ति श्रृंखला की स्थिति पर रिपोर्ट करने के लिए तत्काल ऐसी प्रणाली की आवश्यकता है। मैं सोचता हूं कि सिगस्टोर के साथ, जो सॉफ्टवेयर स्रोतों और स्वामित्व के बारे में सभी सवालों के जवाब देता है, हम आपराधिक नेटवर्क की पहचान करने और महत्वपूर्ण सॉफ्टवेयर इन्फ्रास्ट्रक्चर को सुरक्षित करने के लिए सॉफ्टवेयर गंतव्यों, उपभोक्ताओं, अनुपालन (कानूनी और अन्यथा) के बारे में सवाल पूछना शुरू कर सकते हैं। ”