ニュースがリリースされました GitHub で、実装するための議論のために提案が提出されました サービス パッケージを検証するシグストア デジタル署名を使用して公開記録を維持し、リリースを配布する際に真正性を確認します。
提案については、Sigstoreの使用が言及されています 追加レベルの保護を実装できるようになります ソフトウェア コンポーネントと依存関係 (サプライ チェーン) を置き換えることを目的とした攻撃に対する防御。
ソフトウェア サプライ チェーンを保護することは、現在業界が直面している最大のセキュリティ課題の XNUMX つです。 この提案は重要な次のステップですが、この課題を真に解決するには、コミュニティ全体からのコミットメントと投資が必要です…
これらの変更は、オープン ソースの消費者をソフトウェア サプライ チェーンの攻撃から保護するのに役立ちます。 つまり、悪意のあるユーザーが、メンテナーのアカウントを侵害し、多くの開発者が使用するオープン ソースの依存関係に悪意のあるソフトウェアを追加することで、マルウェアを広めようとする場合です。
たとえば、実装された変更は、NPM 依存関係の XNUMX つの開発者アカウントが侵害され、攻撃者が悪意のあるコードでパッケージの更新を生成した場合に、プロジェクト ソースを保護します。
Sigstore は単なるコード署名ツールではないことに注意してください。その通常のアプローチは、OpenID Connect (OIDC) ID に基づいて短期鍵を発行することで署名鍵を管理する必要をなくすと同時に、アクションを記録することです。 rekor と呼ばれる不変の台帳に加えて、Sigstore には Fulcio と呼ばれる独自の認証機関があります。
新しいレベルの保護のおかげで、 開発者は、生成されたパッケージを使用したソース コードにリンクできます。 およびビルド環境。ユーザーは、パッケージの内容がメイン プロジェクト リポジトリのソースの内容に対応していることを確認できます。
シグストアの利用 キー管理プロセスを大幅に簡素化 また、登録、失効、および暗号化キー管理に関連する複雑さを解消します。 Sigstore は、Let's Encrypt for code としての地位を確立しており、コードにデジタル署名するための証明書と検証を自動化するツールを提供しています。
本日、新しい Request for Comments (RFC) を開始します。これは、パッケージをそのソース リポジトリとビルド環境にバインドすることを検討しています。 パッケージのメンテナーがこのシステムを選択すると、パッケージの消費者は、パッケージのコンテンツがリンクされたリポジトリのコンテンツと一致することをより確信できます。
永久キーの代わりに、 Sigstore は、アクセス許可に基づいて生成される有効期間の短い一時キーを使用します。 署名に使用された素材は、変更保護された公開記録に反映されるため、署名の作成者が本人であること、および署名が責任者である同じ参加者によって作成されたことを確認できます。
このプロジェクトは、他のパッケージ マネージャー エコシステムで早期に採用されました。 今日の RFC では、Sigstore を使用した npm パッケージのエンドツーエンド署名のサポートを追加することを提案しています。 このプロセスには、後で検証できるように、パッケージがいつ、どこで、どのように作成されたかに関する証明書の生成が含まれます。
完全性を確保するため データ破損に対する保護、 マークル ツリー ツリー構造が使用されます 各ブランチでは、ジョイント ハッシュ (ツリー) を介して、基になるすべてのブランチとノードをチェックします。 末尾のハッシュを使用することで、ユーザーは操作履歴全体の正確性と、過去のデータベース状態の正確性を検証できます (新しいデータベース状態のルート チェック ハッシュは、過去の状態を考慮して計算されます)。
最後に、Sigstore は Linux Foundation、Google、Red Hat、Purdue University、および Chainguard によって共同開発されていることに言及する価値があります。
詳細を知りたい場合は、詳細を参照してください。 次のリンク。