자유 소프트웨어 공급망을 확보하기 위해 리눅스 재단 (오픈 소스를 통해 혁신을 촉진하는 비영리 단체) Red Hat, Google 및 Purdue University와 제휴하여 개발자가 소프트웨어에서 암호화 서명을 쉽게 채택 할 수 있도록 도와주는 새로운 프로젝트입니다.
이 새로운 프로젝트 오픈 소스 소프트웨어의 산업 채택률이 계속 증가함에 따라 기록 투명성 기술의 지원을받습니다. Sigstore는 공용 소프트웨어 저장소에 대한 공격이 손상된 코드를 공급망에 주입하는 것을 방지하는 것을 목표로합니다.
시그스토어 소프트웨어 개발자가 안전하게 서명 할 수 있습니다. 버전 파일, 컨테이너 이미지 및 바이너리와 같은 소프트웨어 아티팩트. 서명 된 항목은 변조가 불가능한 공개 저널에 저장된다고합니다.
SigStore는 개발자가 종종 서로 다른 접근 방식 및 데이터 형식을 기반으로하는 소프트웨어의 출처와 진위성을 이해하고 확인할 수 있도록 지원합니다. 기존 솔루션은 종종 안전하지 않은 시스템에 저장된 "다이제스트"(해시 또는 해시 함수의 결과)를 기반으로하는데, 이는 손상 될 수 있으며 해시 교환 또는 해시 함수와 같은 다양한 공격, 사용자에 대한 공격으로 이어질 수 있습니다.
서비스 이용 모든 소프트웨어 개발자 및 공급 업체에게 무료로 제공됩니다., SigStore 커뮤니티는 sigstore 용 코드 및 운영 도구를 개발할 것입니다. Red Hat, Google 및 Purdue University는이 프로젝트의 창립 멤버입니다.
Red Hat CTO 사무실의 최고 보안 책임자 인 Luke Hinds는 "Sigstore를 사용하면 모든 오픈 소스 커뮤니티에서 소프트웨어에 서명하고 출처, 무결성 및 검색 가능성을 결합하여 투명하고 검증 가능한 소프트웨어 공급망을 만들 수 있습니다. "리눅스 재단에서이 협업을 호스팅함으로써 우리는 sigstore에 대한 우리의 작업을 가속화하고 오픈 소스 소프트웨어 및 개발의 지속적인 채택과 영향을 지원할 수 있습니다."
“소프트웨어 구현 보안은 우리가 가지고 있다고 생각하는 소프트웨어를 실행하고 있는지 확인하는 것부터 시작해야합니다. sigstore는 오픈 소스 소프트웨어 공급망에 더 많은 신뢰와 투명성을 제공 할 수있는 좋은 기회입니다.”라고 Josh Aas는 말했습니다.
현대 소프트웨어 공급망이 여러 위험에 노출되어 있다고 주장하며, 프로젝트에 따르면 기존 도구는, 사람들이 직접 만나서 열쇠에 서명하는 것을 포함하며, 오랫동안 잘 작동했습니다. 지리적으로 분산 된 오늘날의 환경에서는 더 이상 달성 할 수 없습니다..
또한 소프트웨어 버전 아티팩트에 암호화 방식으로 서명하는 오픈 소스 프로젝트는 거의 없습니다. 이는 대부분 소프트웨어 유지 관리자가 키 관리, 키 손상, 공개 키 및 해시 아티팩트의 폐기 및 배포에서 직면하는 문제로 인한 것입니다. 즉, 사용자는 신뢰할 수있는 키를 파악하고 서명을 확인하는 데 필요한 단계를 배워야합니다.
“Sigstore는 모든 버전의 오픈 소스 소프트웨어를 검증 가능하게 만들고 사용자의 검증을 용이하게하는 것을 목표로합니다. Google의 오픈 소스 소프트웨어 보안 팀의 소프트웨어 엔지니어 인 Dan Lorenc는 vim을 종료하는 것처럼 쉽게 만들 수 있기를 바랍니다.
또 다른 문제는 해시와 공개 키가 배포되는 방법입니다. 해시와 공개 키는 종종 해킹 가능성이있는 웹 사이트 또는 공개 git 저장소에있는 README 파일에 저장됩니다.
SigStore는 개방적이고 검증 가능한 공개 투명성 레지스트리에서 가져온 신뢰 루트와 함께 수명이 짧은 임시 키를 사용하여 이러한 문제를 해결하려고합니다. 새로운 서비스는 개발자와 사용자가 최소한의 오버 헤드로 소프트웨어의 출처와 신뢰성을 이해하고 확인할 수 있도록 도와줍니다.
“저는 sigstore와 같은 시스템에 대해 매우 흥분됩니다. 소프트웨어 생태계는 공급망의 상태를보고하기 위해 그러한 시스템이 시급히 필요합니다. 소프트웨어 소스 및 소유권에 대한 모든 질문에 답하는 sigstore를 사용하면 소프트웨어 대상, 소비자, 규정 준수 (법적 및 기타)에 대한 질문을 시작하여 범죄 네트워크를 식별하고 중요한 소프트웨어 인프라를 보호 할 수 있다고 생각합니다.”라고 Santiago Torres-Arias는 말했습니다.