To je objavljena vijest na GitHubu je stavljen prijedlog za raspravu o implementaciji usluga Sigstore za provjeru paketa s digitalnim potpisima i održavati javnu evidenciju za potvrdu autentičnosti prilikom distribucije izdanja.
O prijedlogu se spominje da korištenje Sigstore omogućit će implementaciju dodatne razine zaštite protiv napada usmjerenih na zamjenu programskih komponenti i ovisnosti (lanac nabave).
Osiguravanje lanca nabave softvera jedan je od najvećih sigurnosnih izazova s kojima se naša industrija trenutno suočava. Ovaj je prijedlog važan sljedeći korak, ali istinsko rješavanje ovog izazova zahtijevat će predanost i ulaganje cijele zajednice...
Ove promjene pomažu u zaštiti korisnika otvorenog izvornog koda od napada na lanac nabave softvera; drugim riječima, kada zlonamjerni korisnici pokušaju širiti zlonamjerni softver provaljivanjem računa održavatelja i dodavanjem zlonamjernog softvera ovisnostima otvorenog koda koje koriste mnogi programeri.
Na primjer, implementirana promjena će zaštititi izvore projekta u slučaju da je račun razvojnog programera jedne od ovisnosti u NPM-u ugrožen i napadač generira ažuriranje paketa sa zlonamjernim kodom.
Vrijedno je spomenuti da Sigstore nije samo još jedan alat za potpisivanje koda, budući da je njegov uobičajeni pristup eliminirati potrebu za upravljanjem ključevima za potpisivanje izdavanjem kratkoročnih ključeva na temelju identiteta OpenID Connect (OIDC), u isto vrijeme dok bilježi radnje u nepromjenjivoj knjizi koja se zove rekor, uz koju Sigstore ima vlastito certifikacijsko tijelo koje se zove Fulcio
Zahvaljujući novoj razini zaštite, programeri će moći povezati generirani paket s korištenim izvornim kodom i okruženje za izgradnju, dajući korisniku priliku da provjeri odgovara li sadržaj paketa sadržaju izvora u glavnom repozitoriju projekta.
Korištenje Sigstorea uvelike pojednostavljuje proces upravljanja ključevima i eliminira složenosti povezane s registracijom, opozivom i upravljanjem kriptografskim ključem. Sigstore se promovira kao Let's Encrypt for code, pružajući certifikate za digitalno potpisivanje koda i alate za automatizaciju provjere.
Danas otvaramo novi Zahtjev za komentare (RFC), koji se bavi vezanjem paketa na njegovo izvorno spremište i okruženje za izgradnju. Kada se održavatelji paketa odluče za ovaj sustav, korisnici njihovih paketa mogu imati više povjerenja da sadržaj paketa odgovara sadržaju povezanog repozitorija.
Umjesto trajnih ključeva, Sigstore koristi kratkotrajne efemerne ključeve koji se generiraju na temelju dopuštenja. Materijal koji se koristi za potpis odražava se u javnoj evidenciji zaštićenoj izmjenama, što vam omogućuje da budete sigurni da je autor potpisa upravo onaj za kojeg se predstavlja, a potpis je formirao isti sudionik koji je bio odgovoran.
Projekt je rano prihvaćen s drugim ekosustavima upravitelja paketa. Današnjim RFC-om predlažemo dodavanje podrške za potpisivanje npm paketa s kraja na kraj pomoću Sigstorea. Ovaj proces bi uključivao generiranje certifikata o tome gdje, kada i kako je paket kreiran, tako da se kasnije može provjeriti.
Da bi se osigurala cjelovitost i zaštitu od oštećenja podataka, koristi se struktura stabla Merkle Tree u kojem svaka grana provjerava sve temeljne grane i čvorove putem zajedničkog hasha (stabla). Imajući trailing hash, korisnik može provjeriti ispravnost cijele povijesti operacija, kao i ispravnost prošlih stanja baze podataka (root check hash novog stanja baze podataka izračunava se uzimajući u obzir prošlo stanje).
Na kraju, vrijedi spomenuti da su Sigstore zajednički razvili Linux Foundation, Google, Red Hat, Sveučilište Purdue i Chainguard.
Ako želite saznati više o tome, pojedinosti možete pogledati u sljedeći link.