Dalam upaya mengamankan rantai pasokan perangkat lunak bebas, file Linux Foundation (organisasi nirlaba yang mendorong inovasi melalui sumber terbuka) telah bermitra dengan Red Hat, Google, dan Universitas Purdue untuk meluncurkan sebuah proyek baru untuk membantu pengembang dengan mudah mengadopsi tanda tangan kriptografi dalam perangkat lunak.
ini proyek baru didukung oleh teknologi transparansi catatan, karena tingkat adopsi industri yang terus meningkat dari perangkat lunak sumber terbuka, proyek, Sigstore, bertujuan untuk mencegah serangan terhadap repositori perangkat lunak publik agar tidak memasukkan kode yang rusak ke dalam rantai pasokan.
Toko Toko akan memungkinkan pengembang perangkat lunak untuk masuk dengan aman artefak perangkat lunak seperti file versi, gambar kontainer, dan biner. Disebutkan bahwa barang yang ditandatangani disimpan dalam jurnal publik anti rusak.
SigStore berusaha untuk memungkinkan pengembang memahami dan mengkonfirmasi keaslian dan keaslian perangkat lunak yang didasarkan pada serangkaian pendekatan dan format data yang sering berbeda. Solusi yang ada sering kali didasarkan pada "ringkasan" (hash atau hasil dari fungsi hash) yang disimpan di sistem yang tidak aman, yang dapat rusak dan menyebabkan berbagai serangan, seperti pertukaran hash atau fungsi hash, serangan yang ditujukan kepada pengguna.
Penggunaan layanan akan gratis untuk semua pengembang dan vendor perangkat lunak, dan komunitas SigStore akan mengembangkan kode dan alat operasional untuk sigstore. Red Hat, Google dan Purdue University adalah di antara anggota pendiri proyek.
"Sigstore memungkinkan semua komunitas open source untuk menandatangani perangkat lunak mereka dan menggabungkan asal, integritas, dan kemampuan untuk dapat ditemukan untuk menciptakan rantai pasokan perangkat lunak yang transparan dan dapat diverifikasi," kata Luke Hinds, kepala petugas keamanan, kantor CTO Red Hat. "Dengan mengadakan kolaborasi ini di Linux Foundation, kami dapat mempercepat pekerjaan kami di sigstore dan mendukung adopsi dan dampak berkelanjutan dari perangkat lunak dan pengembangan open source."
“Mengamankan implementasi perangkat lunak harus dimulai dengan memastikan bahwa kami menjalankan perangkat lunak yang menurut kami kami miliki. sigstore merupakan peluang besar untuk membawa lebih banyak kepercayaan dan transparansi ke rantai pasokan perangkat lunak sumber terbuka, ”kata Josh Aas,
Dengan alasan bahwa rantai pasokan perangkat lunak modern terkena berbagai risiko, proyek mengatakan bahwa alat yang ada, yang melibatkan orang bertemu secara langsung untuk menandatangani kunci, dan itu telah bekerja dengan baik untuk waktu yang lama, tidak dapat lagi dicapai dalam lingkungan saat ini dengan wilayah yang tersebar secara geografis.
Juga disebutkan itu hanya ada sedikit proyek sumber terbuka yang menandatangani artefak versi perangkat lunak secara kriptografis. Hal ini sebagian besar disebabkan oleh tantangan yang dihadapi pengelola perangkat lunak dalam manajemen kunci, kompromi utama, pencabutan dan distribusi kunci publik dan artefak hash. Ini berarti bahwa pengguna harus mencari tahu kunci mana yang harus dipercaya dan mempelajari langkah-langkah yang diperlukan untuk memvalidasi tanda tangan.
“Sigstore bertujuan untuk membuat semua versi perangkat lunak sumber terbuka dapat diverifikasi dan memfasilitasi verifikasi oleh pengguna. Mudah-mudahan kami dapat membuatnya semudah keluar dari vim, ”kata Dan Lorenc, insinyur perangkat lunak di tim keamanan perangkat lunak sumber terbuka Google.
Masalah lainnya adalah bagaimana hashes dan kunci publik didistribusikan: mereka sering disimpan di situs web yang berpotensi diretas atau dalam file README yang terletak di repositori git publik.
SigStore berupaya untuk mengatasi masalah ini dengan menggunakan kunci singkat berumur pendek dengan akar kepercayaan yang diambil dari registri transparansi publik yang terbuka dan dapat diverifikasi. Layanan baru ini akan membantu pengembang dan pengguna memahami dan mengkonfirmasi keaslian dan keaslian perangkat lunak, dengan biaya overhead yang minimal.
“Saya sangat senang dengan sistem seperti sigstore. Ekosistem perangkat lunak sangat membutuhkan sistem seperti itu untuk melaporkan status rantai pasokan. Saya pikir dengan sigstore, yang menjawab semua pertanyaan tentang sumber dan kepemilikan perangkat lunak, kami dapat mulai mengajukan pertanyaan tentang tujuan perangkat lunak, konsumen, kepatuhan (legal dan lainnya), untuk mengidentifikasi jaringan kriminal dan mengamankan infrastruktur perangkat lunak penting, "kata Santiago Torres-Arias