Berita itu dirilis bahwa di GitHub sebuah proposal telah diajukan untuk diskusi untuk diterapkan pelayanan Sigstore untuk memverifikasi paket dengan tanda tangan digital dan pertahankan catatan publik untuk mengonfirmasi keaslian saat mendistribusikan rilis.
Tentang proposal disebutkan bahwa penggunaan Sigstore akan memungkinkan untuk menerapkan tingkat perlindungan tambahan terhadap serangan yang ditujukan untuk mengganti komponen perangkat lunak dan dependensi (rantai pasokan).
Mengamankan rantai pasokan perangkat lunak adalah salah satu tantangan keamanan terbesar yang dihadapi industri kami saat ini. Proposal ini merupakan langkah penting berikutnya, tetapi benar-benar menyelesaikan tantangan ini akan membutuhkan komitmen dan investasi dari seluruh komunitas…
Perubahan ini membantu melindungi konsumen open source dari serangan rantai pasokan perangkat lunak; dengan kata lain, ketika pengguna jahat mencoba menyebarkan malware dengan melanggar akun pengelola dan menambahkan malware ke dependensi open source yang digunakan oleh banyak pengembang.
Misalnya, perubahan yang diterapkan akan melindungi sumber proyek jika akun pengembang salah satu dependensi di NPM disusupi dan penyerang membuat pembaruan paket dengan kode berbahaya.
Perlu disebutkan bahwa Sigstore bukan hanya alat penandatanganan kode lainnya, karena pendekatan normalnya adalah menghilangkan kebutuhan untuk mengelola kunci penandatanganan dengan mengeluarkan kunci jangka pendek berdasarkan identitas OpenID Connect (OIDC), pada saat yang sama mencatat tindakan dalam buku besar abadi yang disebut rekor, selain itu Sigstore memiliki otoritas sertifikasinya sendiri yang disebut Fulcio
Berkat tingkat perlindungan baru, pengembang akan dapat menautkan paket yang dihasilkan dengan kode sumber yang digunakan dan lingkungan build, memberi pengguna kesempatan untuk memverifikasi bahwa isi paket sesuai dengan isi sumber di repositori proyek utama.
Penggunaan Sigstore sangat menyederhanakan proses manajemen kunci dan menghilangkan kerumitan yang terkait dengan pendaftaran, pencabutan, dan manajemen kunci kriptografi. Sigstore mempromosikan dirinya sebagai Let's Encrypt untuk kode, menyediakan sertifikat untuk menandatangani kode secara digital dan alat untuk mengotomatiskan verifikasi.
Kami membuka Request for Comments (RFC) baru hari ini, yang melihat pengikatan paket ke repositori sumber dan lingkungan build. Ketika pengelola paket memilih sistem ini, konsumen paket mereka dapat lebih yakin bahwa konten paket cocok dengan konten repositori tertaut.
Alih-alih kunci permanen, Sigstore menggunakan kunci ephemeral berumur pendek yang dibuat berdasarkan izin. Materi yang digunakan untuk tanda tangan tercermin dalam catatan publik yang dilindungi modifikasi, memungkinkan Anda untuk memastikan bahwa penulis tanda tangan persis seperti yang mereka katakan, dan tanda tangan itu dibuat oleh peserta yang sama yang bertanggung jawab.
Proyek ini telah melihat adopsi awal dengan ekosistem pengelola paket lainnya. Dengan RFC hari ini, kami mengusulkan untuk menambahkan dukungan untuk penandatanganan paket npm end-to-end menggunakan Sigstore. Proses ini akan mencakup pembuatan sertifikasi tentang di mana, kapan dan bagaimana paket itu dibuat, sehingga dapat diverifikasi nanti.
Untuk memastikan integritas dan perlindungan terhadap korupsi data, struktur pohon Merkle Tree digunakan di mana setiap cabang memeriksa semua cabang dan simpul yang mendasarinya melalui hash bersama (pohon). Dengan memiliki hash tambahan, pengguna dapat memverifikasi kebenaran seluruh riwayat operasi, serta kebenaran status basis data sebelumnya (hash pemeriksaan akar dari status basis data baru dihitung dengan mempertimbangkan status sebelumnya).
Terakhir, perlu disebutkan bahwa Sigstore dikembangkan bersama oleh Linux Foundation, Google, Red Hat, Purdue University, dan Chainguard.
Jika Anda ingin tahu lebih banyak tentangnya, Anda dapat berkonsultasi dengan detailnya di link berikut.