Sigstore, bezmaksas pakalpojums programmatūras izcelsmes un autentiskuma pārbaudei

Cenšoties nodrošināt bezmaksas programmatūras piegādes ķēdi, Linux fonds (bezpeļņas organizācija, kas veicina inovācijas, izmantojot atvērto avotu) lai to palaistu, sadarbojas ar Red Hat, Google un Purdue University jauns projekts, lai palīdzētu izstrādātājiem programmatūrā viegli pieņemt kriptogrāfisko parakstu.

šis jauns projekts atbalsta ierakstu pārredzamības tehnoloģijas, jo arvien pieaugošā atvērtā pirmkoda programmatūras rūpnieciskā ieviešanas pakāpe, projekts, Sigstore mērķis ir novērst uzbrukumu publiskai programmatūras krātuvei korupcijas koda ievadīšanu piegādes ķēdē.

ziņu veikals ļaus programmatūras izstrādātājiem droši parakstīties programmatūras artefaktus, piemēram, versiju failus, konteinera attēlus un bināros failus. Tiek minēts, ka parakstītie priekšmeti tiek glabāti publiskā žurnālā, kas ir drošs pret viltojumiem.

SigStore cenšas dot iespēju izstrādātājiem saprast un apstiprināt programmatūras izcelsmi un autentiskumu, kas balstīts uz bieži atšķirīgu pieeju un datu formātu kopumu. Esošo risinājumu pamatā bieži ir nedrošās sistēmās glabātie “sagremojumi” (hash vai hash funkcijas rezultāti), kas var tikt bojāti un izraisīt dažādus uzbrukumus, piemēram, hash apmaiņu vai hash funkciju, uzbrukumus, kas vērsti pret lietotājiem.

Pakalpojuma izmantošana būs bezmaksas visiem programmatūras izstrādātājiem un pārdevējiem, un SigStore kopiena izstrādās sigstore kodu un darbības rīkus. Red Hat, Google un Purdue Universitāte ir starp projekta dibinātājiem.

"Sigstore ļauj visām atvērtā koda kopienām parakstīt savu programmatūru un apvieno izcelsmi, integritāti un pamanāmību, lai izveidotu pārredzamu un pārbaudāmu programmatūras piegādes ķēdi," sacīja Lūks Hinds, Red Hat CTO biroja drošības virsnieks. "Uzņemot šo sadarbību Linux fondā, mēs varam paātrināt savu darbu pie sigstore un atbalstīt atvērtā pirmkoda programmatūras un izstrādes nepārtrauktu ieviešanu un ietekmi."

“Programmatūras ieviešanas drošībai vajadzētu sākt ar pārliecību, ka mēs izmantojam programmatūru, kas, mūsuprāt, mums ir. sigstore ir lieliska iespēja panākt lielāku uzticību un pārredzamību atvērtā pirmkoda programmatūras piegādes ķēdē, ”sacīja Džošs Aass,

Apgalvojot, ka mūsdienu programmatūras piegādes ķēde ir pakļauta vairākiem riskiem, projektā teikts, ka esošie rīki, kas ietver cilvēkus, kas tiekas klātienē, lai parakstītu atslēgas, un kas tik ilgi darbojas labi, mūsdienu vidē ar ģeogrāfiski izkliedētiem apgabaliem vairs nevar sasniegt.

Turklāt tas ir minēts ir ļoti maz atklāta pirmkoda projektu, kas kriptogrāfiski paraksta programmatūras versijas artefaktus. Tas lielā mērā ir saistīts ar programmatūras uzturētāju izaicinājumiem atslēgu pārvaldībā, galveno kompromisu, publisko atslēgu un jaukšanas artefaktu atsaukšanu un izplatīšanu. Tas nozīmē, ka lietotājiem ir jāizdomā, kurām atslēgām uzticēties, un jāiemācās paraksta apstiprināšanai nepieciešamās darbības.

“Sigstore mērķis ir padarīt visas atvērtā pirmkoda programmatūras versijas pārbaudāmas un atvieglot lietotāju verifikāciju. Cerams, ka mēs to varam padarīt tikpat vienkāršu kā iziešana no VIM, ”sacīja Dan atvērtā koda programmatūras drošības komandas programmatūras inženieris Dens Lorens. 

Vēl viena problēma ir tā, kā tiek izplatītas jauktuves un publiskās atslēgas: tās bieži tiek glabātas potenciāli uzlauztajās vietnēs vai README failā, kas atrodas publiskā git repozitorijā.

SigStore cenšas risināt šīs problēmas, izmantojot īslaicīgas īslaicīgas atslēgas ar uzticības sakni, kas iegūta no atvērta un pārbaudāma publiskā pārredzamības reģistra. Jaunais pakalpojums palīdzēs izstrādātājiem un lietotājiem saprast un apstiprināt programmatūras izcelsmi un autentiskumu ar minimālu pieskaitāmo summu.

“Esmu ļoti satraukti par tādu sistēmu kā sigstore. Programmatūras ekosistēmai steidzami nepieciešama šāda sistēma, lai ziņotu par piegādes ķēdes stāvokli. Es domāju, ka ar sigstore, kas atbild uz visiem jautājumiem par programmatūras avotiem un īpašumtiesībām, mēs varam sākt uzdot jautājumus par programmatūras galamērķiem, patērētājiem, atbilstību (likumīgai un citādai), lai identificētu noziedzīgos tīklus un nodrošinātu kritiskās programmatūras infrastruktūras. ”, Sacīja Santjago Toress-Ariass.


Esi pirmais, kas komentārus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.