הידיעה פורסמה כי ב-GitHub הועלתה לדיון הצעה ליישום השירות Sigstore לאימות חבילות עם חתימות דיגיטליות ושמירה על רישום ציבורי כדי לאשר את האותנטיות בעת הפצת מהדורות.
על ההצעה מוזכר כי השימוש ב- Sigstore יאפשר ליישם רמת הגנה נוספת נגד התקפות שמטרתן החלפת רכיבי תוכנה ותלות (שרשרת אספקה).
אבטחת שרשרת אספקת התוכנה היא אחד מאתגרי האבטחה הגדולים ביותר העומדים בפני התעשייה שלנו כעת. הצעה זו היא צעד חשוב הבא, אך פתרון באמת של אתגר זה ידרוש מחויבות והשקעה מכל הקהילה...
שינויים אלה עוזרים להגן על צרכני קוד פתוח מפני התקפות שרשרת אספקת תוכנה; במילים אחרות, כאשר משתמשים זדוניים מנסים להפיץ תוכנות זדוניות על ידי הפרת חשבון של מתחזק והוספת תוכנה זדונית לתלות הקוד הפתוח המשמשת מפתחים רבים.
לדוגמה, השינוי המיושם יגן על מקורות הפרויקט במקרה שחשבון המפתח של אחת מהתלות ב-NPM ייפגע ותוקף יוצר עדכון חבילה עם קוד זדוני.
ראוי להזכיר ש- Sigstore היא לא רק עוד כלי חתימת קוד, שכן הגישה הרגילה שלו היא לבטל את הצורך בניהול מפתחות חתימה על ידי הנפקת מפתחות לטווח קצר המבוססים על זהויות OpenID Connect (OIDC), במקביל לרישום הפעולות בספר חשבונות בלתי ניתן לשינוי בשם רקור, בנוסף לכך לסיגסטור יש רשות אישורים משלה בשם Fulcio
הודות לרמת ההגנה החדשה, מפתחים יוכלו לקשר את החבילה שנוצרה עם קוד המקור שבו נעשה שימוש וסביבת ה-build, המאפשרת למשתמש לוודא שתוכן החבילה תואם לתוכן המקורות במאגר הפרויקטים הראשי.
השימוש ב- Sigstore מפשט מאוד את תהליך ניהול המפתח ומבטל את המורכבות הקשורה ברישום, ביטול וניהול מפתחות קריפטוגרפיים. Sigstore מקדמת את עצמה בתור Let's Encrypt לקוד, ומספקת אישורים לחתימה דיגיטלית של קוד וכלים לאוטומטיים.
אנו פותחים היום בקשה חדשה להערות (RFC), אשר בוחנת קשירת חבילה למאגר המקור שלה ולסביבת הבנייה שלה. כאשר מנהלי החבילות בוחרים במערכת זו, צרכני החבילות שלהם יכולים להיות בטוחים יותר שתוכן החבילה תואם את התוכן של המאגר המקושר.
במקום מפתחות קבועים, Sigstore משתמשת במפתחות ארעיים קצרי מועד שנוצרים על סמך הרשאות. החומר המשמש לחתימה בא לידי ביטוי ברשומה ציבורית מוגנת בשינויים, המאפשר לך לוודא שמחבר החתימה הוא בדיוק מי שהוא אומר שהוא, והחתימה נוצרה על ידי אותו משתתף שהיה אחראי.
הפרויקט ראה אימוץ מוקדם עם מערכות אקולוגיות אחרות של מנהלי החבילות. עם ה-RFC של היום, אנו מציעים להוסיף תמיכה בחתימה מקצה לקצה של חבילות npm באמצעות Sigstore. תהליך זה יכלול יצירת אישורים לגבי היכן, מתי וכיצד נוצרה החבילה, כך שניתן יהיה לאמת אותה מאוחר יותר.
כדי להבטיח שלמות והגנה מפני שחיתות נתונים, נעשה שימוש במבנה עץ מרקל שבו כל סניף בודק את כל הענפים והצמתים הבסיסיים באמצעות hash משותף (עץ). על ידי קיום Hash נגרר, המשתמש יכול לאמת את נכונות היסטוריית הפעולות כולה, כמו גם את נכונות מצבי מסד הנתונים בעבר (ה-Root Check Hash של מצב מסד הנתונים החדש מחושב בהתחשב במצב העבר).
לבסוף, ראוי להזכיר ש- Sigstore פותחה במשותף על ידי קרן לינוקס, גוגל, רד האט, אוניברסיטת Purdue ו-Chainguard.
אם אתה רוצה לדעת יותר על זה, אתה יכול לעיין בפרטים ב הקישור הבא.