自由ソフトウェアのサプライチェーンを確保するために、 Linux Foundation (オープンソースを通じてイノベーションを促進する非営利団体) Red Hat、Google、PurdueUniversityと提携して立ち上げました 開発者がソフトウェアで暗号署名を簡単に採用できるようにする新しいプロジェクト。
この 新しいプロジェクト オープンソースソフトウェア、プロジェクト、プロジェクトのますます増加する産業採用率として、記録的な透明性技術によってサポートされています。 Sigstoreは、パブリックソフトウェアリポジトリへの攻撃が破損したコードをサプライチェーンに注入するのを防ぐことを目的としています。
シグストア ソフトウェア開発者が安全に署名できるようになります バージョンファイル、コンテナイメージ、バイナリなどのソフトウェアアーティファクト。 署名されたアイテムは、改ざん防止の公開ジャーナルに保存されていると述べられています。
SigStoreは、開発者が、多くの場合異なるアプローチとデータ形式のセットに基づくソフトウェアの起源と信頼性を理解および確認できるようにすることを目指しています。 既存のソリューションは、多くの場合、安全でないシステムに保存されている「要約」(ハッシュまたはハッシュ関数の結果)に基づいており、破損して、ハッシュ交換やハッシュ関数などのさまざまな攻撃、ユーザーに対する攻撃につながる可能性があります。
サービスの利用 すべてのソフトウェア開発者とベンダーに無料で提供されます、およびSigStoreコミュニティは、sigstoreのコードと運用ツールを開発します。 Red Hat、Google、およびPurdue Universityは、プロジェクトの創設メンバーのXNUMXつです。
「Sigstoreは、すべてのオープンソースコミュニティがソフトウェアに署名できるようにし、来歴、整合性、発見可能性を組み合わせて、透過的で検証可能なソフトウェアサプライチェーンを作成します」とRed HatCTOオフィスの最高セキュリティ責任者であるLukeHindsは述べています。 「LinuxFoundationでこのコラボレーションをホストすることで、sigstoreでの作業を加速し、オープンソースソフトウェアと開発の継続的な採用と影響をサポートできます。」
「ソフトウェア実装の保護は、私たちが持っていると思うソフトウェアを実行していることを確認することから始める必要があります。 sigstoreは、オープンソースソフトウェアのサプライチェーンにより多くの信頼と透明性をもたらす絶好の機会です」とJoshAas氏は述べています。
最新のソフトウェアサプライチェーンは複数のリスクにさらされていると主張し、 プロジェクトによると、既存のツール、キーに署名するために直接会う人々を含み、それは長い間うまく機能してきました、 地理的に分散したエリアがある今日の環境では、もはや達成できません。.
また、 ソフトウェアバージョンのアーティファクトに暗号で署名するオープンソースプロジェクトはほとんどありません。 これは主に、ソフトウェアメンテナがキー管理、キーの侵害、公開キーとハッシュアーティファクトの失効と配布で直面する課題によるものです。 これは、ユーザーが信頼するキーを把握し、署名を検証するために必要な手順を学習する必要があることを意味します。
「Sigstoreは、オープンソースソフトウェアのすべてのバージョンを検証可能にし、ユーザーによる検証を容易にすることを目的としています。 GoogleのオープンソースソフトウェアセキュリティチームのソフトウェアエンジニアであるDanLorencは、次のように述べています。
もうXNUMXつの問題は、ハッシュと公開鍵がどのように配布されるかです。これらは、ハッキングされる可能性のあるWebサイト、または公開gitリポジトリにあるREADMEファイルに保存されることがよくあります。
SigStoreは、オープンで検証可能な公開透明性レジストリから引き出された信頼のルートを持つ、短命の一時的なキーを使用することにより、これらの問題に対処しようとしています。 新しいサービスは、開発者とユーザーが最小限のオーバーヘッドでソフトウェアの起源と信頼性を理解し、確認するのに役立ちます。
「私はsigstoreのようなシステムに非常に興奮しています。 ソフトウェアエコシステムは、サプライチェーンのステータスを報告するためにそのようなシステムを緊急に必要としています。 ソフトウェアのソースと所有権に関するすべての質問に答えるsigstoreを使用すると、ソフトウェアの宛先、消費者、コンプライアンス(法的およびその他)に関する質問を開始して、犯罪ネットワークを特定し、重要なソフトウェアインフラストラクチャを保護できると思います。」とSantiagoTorres-Arias氏は述べています。