Tika izlaista ziņa, ka vietnē GitHub ir izvirzīts priekšlikums, lai to īstenotu serviss Sigstore, lai pārbaudītu pakotnes ar ciparparakstiem un uzturēt publisku ierakstu, lai apstiprinātu autentiskumu, izplatot izlaidumus.
Par priekšlikumu minēts, ka Sigstore izmantošana ļaus ieviest papildu aizsardzības līmeni pret uzbrukumiem, kuru mērķis ir aizstāt programmatūras komponentus un atkarības (piegādes ķēde).
Programmatūras piegādes ķēdes nodrošināšana ir viens no lielākajiem drošības izaicinājumiem, ar ko šobrīd saskaras mūsu nozare. Šis priekšlikums ir svarīgs nākamais solis, taču, lai patiesi atrisinātu šo izaicinājumu, būs nepieciešama apņemšanās un ieguldījumi no visas kopienas…
Šīs izmaiņas palīdz aizsargāt atvērtā pirmkoda patērētājus no programmatūras piegādes ķēdes uzbrukumiem; citiem vārdiem sakot, kad ļaunprātīgi lietotāji mēģina izplatīt ļaunprātīgu programmatūru, uzlaužot uzturētāja kontu un pievienojot ļaunprātīgu programmatūru atvērtā pirmkoda atkarībām, ko izmanto daudzi izstrādātāji.
Piemēram, ieviestās izmaiņas aizsargās projekta avotus, ja tiek apdraudēts vienas no NPM atkarību izstrādātāja konts un uzbrucējs ģenerē pakotnes atjauninājumu ar ļaunprātīgu kodu.
Ir vērts pieminēt, ka Sigstore nav tikai vēl viens koda parakstīšanas rīks, jo tā parastā pieeja ir novērst nepieciešamību pārvaldīt parakstīšanas atslēgas, izsniedzot īstermiņa atslēgas, kuru pamatā ir OpenID Connect (OIDC) identitātes, vienlaikus ierakstot darbības. nemainīgā virsgrāmatā ar nosaukumu rekor, turklāt Sigstore ir sava sertifikācijas iestāde ar nosaukumu Fulcio
Pateicoties jaunajam aizsardzības līmenim, izstrādātāji varēs saistīt ģenerēto pakotni ar izmantoto avota kodu un būvēšanas vidi, sniedzot lietotājam iespēju pārbaudīt, vai pakotnes saturs atbilst avotu saturam galvenajā projekta repozitorijā.
Sigstore izmantošana ievērojami vienkāršo atslēgu pārvaldības procesu un novērš sarežģījumus, kas saistīti ar reģistrāciju, atsaukšanu un kriptogrāfisko atslēgu pārvaldību. Sigstore reklamē sevi kā Let's Encrypt for Code, nodrošinot sertifikātus koda ciparparakstīšanai un rīkus, lai automatizētu verifikāciju.
Šodien mēs atveram jaunu komentāru pieprasījumu (RFC), kurā aplūkota pakotnes saistīšana ar tās avota repozitoriju un veidošanas vidi. Kad pakotņu uzturētāji izvēlas šo sistēmu, viņu pakotņu patērētāji var vairāk pārliecināties, ka pakotnes saturs atbilst saistītās repozitorija saturam.
Pastāvīgo atslēgu vietā Sigstore izmanto īslaicīgas īslaicīgas atslēgas, kas tiek ģenerētas, pamatojoties uz atļaujām. Parakstam izmantotais materiāls ir atspoguļots ar modifikācijām aizsargātā publiskajā ierakstā, ļaujot pārliecināties, ka paraksta autors ir tieši tas, par kuru viņi sevi saka, un parakstu veidojis tas pats dalībnieks, kurš bija atbildīgs.
Projekts ir pieredzējis agrīnu pieņemšanu ar citām pakotņu pārvaldnieka ekosistēmām. Izmantojot mūsdienu RFC, mēs piedāvājam pievienot atbalstu npm pakotņu pilnīgai parakstīšanai, izmantojot Sigstore. Šis process ietvertu sertifikātu ģenerēšanu par to, kur, kad un kā pakotne tika izveidota, lai to vēlāk varētu pārbaudīt.
Lai nodrošinātu integritāti un aizsardzība pret datu korupciju, tiek izmantota Merkle Tree koka struktūra kurā katra filiāle pārbauda visus pamatā esošos zarus un mezglus, izmantojot kopīgu hash (koku). Izmantojot beigu jaucējkodu, lietotājs var pārbaudīt visas operāciju vēstures pareizību, kā arī pagātnes datu bāzes stāvokļu pareizību (jaunās datu bāzes stāvokļa saknes pārbaudes hash tiek aprēķināts, ņemot vērā pagātnes stāvokli).
Visbeidzot, ir vērts pieminēt, ka Sigstore kopīgi izstrādā Linux Foundation, Google, Red Hat, Purdue University un Chainguard.
Ja vēlaties uzzināt vairāk par to, varat skatīt sīkāku informāciju šo saiti.