במאמץ לאבטח את שרשרת אספקת התוכנה החופשית, קרן לינוקס (העמותה המטפלת בחדשנות באמצעות קוד פתוח) שותפה עם השקת רד האט, גוגל ואוניברסיטת פרדו פרויקט חדש שיעזור למפתחים לאמץ בקלות חתימה קריפטוגרפית בתוכנה.
זה פרויקט חדש נתמך בטכנולוגיות שקיפות שיא, כשיעור האימוץ התעשייתי העולה והולך של תוכנות קוד פתוח, הפרויקט, Sigstore, שואפת למנוע מהתקפה על מאגר תוכנה ציבורי להזרים קוד מושחת לשרשרת האספקה.
זיגסטור יאפשר למפתחי תוכנה לחתום בצורה מאובטחת חפצי תוכנה כגון קבצי גרסאות, תמונות מיכל וקבצים בינאריים. מוזכר כי פריטים חתומים מאוחסנים ביומן ציבורי חסין חבלה.
SigStore מבקשת לאפשר למפתחים להבין ולאשר את המקור ואת האותנטיות של התוכנה המבוססת על מערך גישות ופורמטי נתונים שונים לעיתים קרובות. פתרונות קיימים מבוססים לרוב על "סיכומים" (חשיש או תוצאות של פונקציית חשיש) המאוחסנים במערכות לא בטוחות, העלולות להיפגם ולהוביל להתקפות שונות, כמו החלפת חשיש או פונקציית חשיש, התקפות המופנות כנגד משתמשים.
השימוש בשירות יהיה בחינם לכל מפתחי התוכנה והספקים, וקהילת SigStore תפתח את הקוד ואת הכלים התפעוליים עבור sigstore. רד האט, גוגל ואוניברסיטת פרדו הם בין החברים המייסדים של הפרויקט.
"זיגסטור מאפשרת לכל קהילות הקוד הפתוח לחתום על התוכנה שלה ומשלבת מקור, שלמות ויכולת גילוי כדי ליצור שרשרת אספקת תוכנה שקופה וניתנת לאימות", אמר לוק הינדס, קצין האבטחה הראשי במשרד ה- CT של רד האט. "על ידי אירוח שיתוף הפעולה הזה בקרן לינוקס, אנו יכולים להאיץ את עבודתנו ב- sigstore ולתמוך בהמשך האימוץ וההשפעה של תוכנת קוד פתוח ופיתוח."
"אבטחת יישום תוכנה צריכה להתחיל לוודא שאנחנו מריצים את התוכנה שיש לנו לדעתנו. sigstore מהווה הזדמנות נהדרת להביא יותר אמון ושקיפות לשרשרת אספקת התוכנה בקוד פתוח, "אמר ג'וש אאס,
בטענה שרשת אספקת התוכנה המודרנית חשופה לסיכונים מרובים, הפרויקט אומר כי כלים קיימים, הכוללים אנשים שנפגשים באופן אישי כדי לחתום על מפתחות, ושהם עבדו היטב זמן כה רב, כבר לא ניתן להשיג בסביבה של ימינו עם אזורים מפוזרים גיאוגרפית.
כמו כן, מוזכר כי ישנם מעט מאוד פרויקטים של קוד פתוח החותמים באופן קריפטוגרפי על חפצי גרסת תוכנה. הדבר נובע במידה רבה מהאתגרים העומדים בפני מחזיקי התוכנה בניהול מפתחות, פשרות מפתח, ביטול והפצה של מפתחות ציבוריים וחפצי חשיש. המשמעות היא שמשתמשים חייבים להבין אילו מקשים לסמוך עליהם וללמוד את הצעדים הנדרשים לאימות החתימה.
"Sigstore שואפת להפוך את כל הגרסאות של תוכנת קוד פתוח לבלתי ניתנות לאימות ולהקל על האימות על ידי המשתמשים. אני מקווה שנוכל לעשות את זה קל כמו לצאת מ- vim, "אמר דן לורנץ, מהנדס תוכנה בצוות אבטחת התוכנה בקוד פתוח.
בעיה נוספת היא כיצד מופצים חשיפות ומפתחות ציבוריים: לעתים קרובות הם נשמרים באתרים שעלולים להיות פריצים או בקובץ README שנמצא במאגר git ציבורי.
SigStore מבקשת לטפל בבעיות אלה על ידי שימוש במפתחות ארעיים קצרי מועד עם שורש אמון הנובע מרשם שקיפות ציבורי פתוח וניתן לאימות. השירות החדש יעזור למפתחים ולמשתמשים להבין ולאשר את מקור התוכנה ואותנטיותה, עם תקורה מינימלית.
"אני מאוד מתרגש ממערכת כמו sigstore. המערכת האקולוגית של התוכנה זקוקה בדחיפות למערכת כזו כדי לדווח על מצב שרשרת האספקה. אני חושב שעם sigstore, העונה על כל השאלות אודות מקורות תוכנה ובעלות, אנו יכולים להתחיל לשאול שאלות על יעדי תוכנה, צרכנים, תאימות (חוקית ואחרת), כדי לזהות רשתות פליליות ולאבטח תשתיות תוכנה קריטיות. ", אמר סנטיאגו טורס-אריאס.