A szabad szoftver-ellátási lánc biztosítása érdekében az Linux Alapítvány (az nonprofit szervezet, amely nyílt forráskódon keresztül ösztönzi az innovációt) a Red Hat, a Google és a Purdue Egyetem együttműködésében indult egy új projekt, amely segít a fejlesztőknek a kriptográfiai aláírás egyszerű alkalmazásában a szoftverben.
ezt új projekt rekord átlátszó technológiák támogatják, mivel a nyílt forráskódú szoftverek egyre növekvő ipari átvételi aránya, a projekt, A Sigstore célja, hogy megakadályozza egy nyilvános szoftver-adattár támadását abban, hogy sérült kódot juttasson az ellátási láncba.
sigstore lehetővé teszi a szoftverfejlesztők számára a biztonságos aláírást szoftvertermékek, például verziófájlok, tárolóképek és bináris fájlok. Megemlítik, hogy az aláírt tételeket egy szabotázsbiztos nyilvános naplóban tárolják.
A SigStore arra törekszik, hogy a fejlesztők megértsék és megerősítsék a szoftver eredetét és hitelességét, amely gyakran eltérő megközelítéseken és adatformátumokon alapul. A meglévő megoldások gyakran a bizonytalan rendszereken tárolt "összefoglalókon" (hash vagy hash függvény eredményei) alapulnak, amelyek megsérülhetnek, és különféle támadásokhoz vezethetnek, például hash csere vagy hash funkció, felhasználók elleni támadásokhoz.
A szolgáltatás igénybevétele ingyenes lesz minden szoftverfejlesztő és szállító számára, és a SigStore közösség kidolgozza a sigstore kódját és működési eszközeit. A Red Hat, a Google és a Purdue Egyetem a projekt alapító tagjai közé tartozik.
"A Sigstore lehetővé teszi az összes nyílt forráskódú közösség számára szoftverük aláírását, és ötvözi a származást, az integritást és a felfedezhetőséget egy átlátható és ellenőrizhető szoftverellátási lánc létrehozása érdekében" - mondta Luke Hinds, a Red Hat CTO irodájának biztonsági vezetője. "Ennek az együttműködésnek a Linux Alapítványnál történő megrendezésével felgyorsíthatjuk a sigstore-on végzett munkánkat, és támogathatjuk a nyílt forráskódú szoftverek és fejlesztések folyamatos bevezetését és hatását."
„A szoftver megvalósításának biztosítását azzal kell kezdeni, hogy megbizonyosodunk arról, hogy olyan szoftvert futtatunk, amely szerintünk van. A sigstore nagyszerű lehetőséget jelent arra, hogy nagyobb bizalmat és átláthatóságot nyújtsunk a nyílt forráskódú szoftver-ellátási láncban ”- mondta Josh Aas,
Arra hivatkozva, hogy a modern szoftver-ellátási lánc több kockázatnak van kitéve, a projekt szerint a meglévő eszközök, amely magában foglalja az embereket, akik személyesen találkoznak a kulcsok aláírására, és amelyek olyan sokáig működtek jól, földrajzilag szétszórt területekkel a mai környezetben már nem lehet elérni.
Azt is megemlítik, hogy nagyon kevés olyan nyílt forráskódú projekt van, amely kriptográfiailag aláírja a szoftver verziói műtárgyakat. Ez nagyrészt annak tudható be, hogy a szoftverfenntartók milyen kihívásokkal néznek szembe a kulcskezelésben, a kulcsfontosságú kompromisszumokban, a nyilvános kulcsok és a kivonat tárgyainak visszavonásában és terjesztésében. Ez azt jelenti, hogy a felhasználóknak meg kell találniuk, hogy mely kulcsokban lehet megbízni, és meg kell tanulniuk az aláírás érvényesítéséhez szükséges lépéseket.
„A Sigstore célja, hogy a nyílt forráskódú szoftverek minden verzióját ellenőrizhetővé tegye, és megkönnyítse a felhasználók általi ellenőrzést. Remélhetőleg ezt ugyanolyan egyszerűvé tehetjük, mint a vimből való kilépés ”- mondta Dan Lorenc, a Google nyílt forráskódú szoftverbiztonsági csapatának szoftvermérnöke.
További probléma, hogy a kivonatok és a nyilvános kulcsok hogyan oszlanak meg: gyakran potenciálisan feltört webhelyeken vagy egy nyilvános git-tárban található README fájlban tárolják őket.
A SigStore ezeket a problémákat rövid életű rövid átmenetű kulcsok felhasználásával igyekszik megoldani, amelyek nyitott és ellenőrizhető nyilvános átláthatósági nyilvántartásból származnak. Az új szolgáltatás segít a fejlesztőknek és a felhasználóknak megérteni és megerősíteni a szoftver eredetét és hitelességét, minimális rezsivel.
„Nagyon izgatott vagyok egy olyan rendszer miatt, mint a sigstore. A szoftver-ökoszisztémának sürgősen szüksége van egy ilyen rendszerre, hogy beszámoljon az ellátási lánc állapotáról. Úgy gondolom, hogy a sigstore-val, amely megválaszolja a szoftverforrásokkal és a tulajdonjoggal kapcsolatos összes kérdést, elkezdhetünk kérdéseket feltenni a szoftvercélokra, a fogyasztókra, a megfelelésre (jogi és egyéb), a bűnözői hálózatok azonosítására és a kritikus fontosságú szoftverinfrastruktúrák biztosítására.