Buvo paskelbta žinia, kad „GitHub“ buvo pateiktas pasiūlymas, kad būtų galima jį įgyvendinti tarnyba Sigstore, kad patikrintumėte paketus su skaitmeniniais parašais ir saugoti viešą įrašą, kad patvirtintų autentiškumą platinant leidinius.
Apie pasiūlymą paminėta, kad Sigstore naudojimas leis įgyvendinti papildomą apsaugos lygį nuo atakų, kuriomis siekiama pakeisti programinės įrangos komponentus ir priklausomybes (tiekimo grandinę).
Programinės įrangos tiekimo grandinės apsauga yra vienas didžiausių saugumo iššūkių, su kuriuo šiuo metu susiduria mūsų pramonė. Šis pasiūlymas yra svarbus kitas žingsnis, tačiau norint iš tikrųjų išspręsti šį iššūkį, reikės visos bendruomenės įsipareigojimo ir investicijų...
Šie pakeitimai padeda apsaugoti atvirojo kodo vartotojus nuo programinės įrangos tiekimo grandinės atakų; kitaip tariant, kai kenkėjiški vartotojai bando platinti kenkėjiškas programas, pažeisdami prižiūrėtojo paskyrą ir įtraukdami kenkėjiškas programas prie daugelio kūrėjų naudojamų atvirojo kodo priklausomybių.
Pavyzdžiui, įgyvendintas pakeitimas apsaugos projekto šaltinius, jei bus pažeista vienos iš NPM priklausomybių kūrėjo paskyra ir užpuolikas sugeneruos paketo naujinį su kenkėjišku kodu.
Verta paminėti, kad „Sigstore“ nėra tik dar vienas kodo pasirašymo įrankis, nes įprastas būdas yra panaikinti poreikį valdyti pasirašymo raktus, išduodant trumpalaikius raktus, pagrįstus „OpenID Connect“ (OIDC) tapatybėmis, tuo pačiu metu įrašant veiksmus. nekintamoje knygoje, vadinamoje rekor, be to, „Sigstore“ turi savo sertifikavimo įstaigą „Fulcio“
Dėl naujo apsaugos lygio, kūrėjai galės susieti sugeneruotą paketą su naudojamu šaltinio kodu ir kūrimo aplinką, suteikiant vartotojui galimybę patikrinti, ar paketo turinys atitinka pagrindinės projekto saugyklos šaltinių turinį.
„Sigstore“ naudojimas labai supaprastina raktų valdymo procesą ir pašalina sudėtingumą, susijusį su registracija, atšaukimu ir kriptografinio rakto valdymu. „Sigstore“ reklamuojasi kaip „Encrypt for Code“, teikianti skaitmeninio kodo pasirašymo sertifikatus ir įrankius, skirtus automatizuoti patvirtinimą.
Šiandien atidarome naują užklausą dėl komentarų (RFC), kurioje nagrinėjamas paketo susiejimas su šaltinio saugykla ir kūrimo aplinka. Kai paketų prižiūrėtojai pasirenka šią sistemą, jų paketų vartotojai gali labiau pasitikėti, kad paketo turinys sutampa su susietos saugyklos turiniu.
Vietoj nuolatinių raktų „Sigstore“ naudoja trumpalaikius trumpalaikius raktus, kurie generuojami remiantis leidimais. Parašui panaudota medžiaga atsispindi nuo modifikacijų apsaugotame viešame įraše, todėl galite įsitikinti, kad parašo autorius yra būtent tas, koks jis sakosi esąs, o parašą suformavo tas pats atsakingas dalyvis.
Projektas buvo anksti pritaikytas kitose paketų tvarkyklės ekosistemose. Su šiandienos RFC siūlome pridėti npm paketų pasirašymo nuo galo iki galo palaikymą naudojant Sigstore. Šis procesas apimtų sertifikatų apie tai, kur, kada ir kaip buvo sukurtas paketas, generavimą, kad vėliau būtų galima jį patikrinti.
Siekiant užtikrinti vientisumą ir apsauga nuo duomenų sugadinimo, naudojama Merkle Tree medžio struktūra kurioje kiekviena šaka patikrina visas pagrindines šakas ir mazgus per jungtinę maišą (medį). Turėdamas galinę maišą, vartotojas gali patikrinti visos operacijų istorijos teisingumą, taip pat ankstesnių duomenų bazės būsenų teisingumą (naujos duomenų bazės būsenos šakninio tikrinimo maiša apskaičiuojama atsižvelgiant į praeitą būseną).
Galiausiai verta paminėti, kad „Sigstore“ kartu kuria „Linux Foundation“, „Google“, „Red Hat“, „Purdue University“ ir „Chainguard“.
Jei norite sužinoti daugiau apie tai, galite pasiskaityti išsamią informaciją šią nuorodą.