라는 소식이 전해졌습니다. GitHub에서 구현하기 위한 토론을 위해 제안이 제출되었습니다. 서비스 패키지 확인을 위한 Sigstore 릴리스를 배포할 때 진위를 확인하기 위해 디지털 서명을 사용하여 공개 기록을 유지합니다.
제안에 대해서는 Sigstore의 사용이 언급되어 있습니다. 추가 수준의 보호를 구현할 수 있습니다. 소프트웨어 구성 요소 및 종속성(공급망) 교체를 목표로 하는 공격에 대비합니다.
소프트웨어 공급망을 보호하는 것은 현재 업계가 직면한 가장 큰 보안 과제 중 하나입니다. 이 제안은 중요한 다음 단계이지만 이 문제를 진정으로 해결하려면 커뮤니티 전체의 헌신과 투자가 필요합니다…
이러한 변경은 소프트웨어 공급망 공격으로부터 오픈 소스 소비자를 보호하는 데 도움이 됩니다. 즉, 악의적인 사용자가 관리자의 계정을 침해하고 많은 개발자가 사용하는 오픈 소스 종속성에 멀웨어를 추가하여 멀웨어를 퍼뜨리려고 할 때입니다.
예를 들어 구현된 변경 사항은 NPM의 종속성 중 하나의 개발자 계정이 손상되고 공격자가 악성 코드로 패키지 업데이트를 생성하는 경우 프로젝트 소스를 보호합니다.
Sigstore는 일반적인 접근 방식이 작업을 기록함과 동시에 OpenID Connect(OIDC) ID를 기반으로 하는 단기 키를 발행하여 서명 키를 관리할 필요를 제거하는 것이기 때문에 Sigstore가 또 다른 코드 서명 도구가 아니라는 점을 언급할 가치가 있습니다. Sigstore에는 Fulcio라는 자체 인증 기관이 있는 것 외에 rekor라는 불변 원장에서
새로운 수준의 보호 기능 덕분에 개발자는 생성된 패키지를 사용된 소스 코드와 연결할 수 있습니다. 및 빌드 환경을 통해 사용자에게 패키지 내용이 기본 프로젝트 저장소의 소스 내용과 일치하는지 확인할 수 있습니다.
시그스토어 이용 키 관리 프로세스를 크게 단순화 등록, 해지 및 암호화 키 관리와 관련된 복잡성을 제거합니다. Sigstore는 자신을 코드용 Let's Encrypt로 홍보하여 디지털 서명 코드에 대한 인증서와 검증을 자동화하는 도구를 제공합니다.
우리는 오늘 패키지를 소스 리포지토리 및 빌드 환경에 바인딩하는 새로운 RFC(Request for Comments)를 엽니다. 패키지 관리자가 이 시스템을 선택하면 패키지 소비자는 패키지의 콘텐츠가 연결된 저장소의 콘텐츠와 일치한다는 확신을 가질 수 있습니다.
영구 키 대신, Sigstore는 권한을 기반으로 생성되는 단기 임시 키를 사용합니다. 서명에 사용된 자료는 수정 보호된 공개 기록에 반영되어 서명 작성자가 정확히 누구인지, 서명이 책임이 있는 동일한 참여자에 의해 형성되었는지 확인할 수 있습니다.
이 프로젝트는 다른 패키지 관리자 생태계와 함께 조기 채택되었습니다. 오늘의 RFC에서는 Sigstore를 사용하여 npm 패키지의 종단 간 서명에 대한 지원을 추가할 것을 제안합니다. 이 프로세스에는 나중에 확인할 수 있도록 패키지가 생성된 위치, 시기 및 방법에 대한 인증 생성이 포함됩니다.
무결성을 보장하기 위해 데이터 손상 방지, 머클 트리 트리 구조가 사용됩니다. 각 분기는 조인트 해시(트리)를 통해 모든 기본 분기와 노드를 확인합니다. 후행 해시를 가짐으로써 사용자는 전체 작업 이력의 정확성과 과거 데이터베이스 상태의 정확성을 확인할 수 있습니다(새 데이터베이스 상태의 루트 검사 해시는 과거 상태를 고려하여 계산됨).
마지막으로 Sigstore는 Linux Foundation, Google, Red Hat, Purdue University 및 Chainguard가 공동으로 개발했습니다.
그것에 대해 더 알고 싶다면 자세한 내용을 참조하십시오. 다음 링크.