विनामूल्य सॉफ्टवेअर पुरवठा साखळी सुरक्षित करण्याच्या प्रयत्नात, द लिनक्स फाऊंडेशन (मुक्त स्त्रोताद्वारे नवनिर्मितीला प्रोत्साहन देणारी ना-नफा संस्था) लॉन्च करण्यासाठी रेड हॅट, गूगल आणि पर्ड्यू युनिव्हर्सिटी सह भागीदारी केली आहे विकसकांना सॉफ्टवेअरमध्ये क्रिप्टोग्राफिक स्वाक्षरी सहजतेने स्वीकारण्यास मदत करणारा एक नवीन प्रकल्प.
Este नवीन प्रकल्प रेकॉर्ड पारदर्शकता तंत्रज्ञानाद्वारे समर्थित आहे, ओपन सोर्स सॉफ्टवेअर, प्रोजेक्टचा वाढता औद्योगिक अवलंबन दर, सिगस्टोर, चे उद्दीष्ट आहे की सार्वजनिक सॉफ्टवेअर रिपॉझिटरीवरील हल्ल्याला पुरवठा साखळीत भ्रष्ट कोड इंजेक्ट करण्यापासून रोखणे आहे.
सिगस्टोर सॉफ्टवेअर विकसकांना सुरक्षितपणे साइन इन करण्यास अनुमती देईल सॉफ्टवेअर फाईल, कंटेनर प्रतिमा आणि बायनरी सारख्या कलाकृती. यात नमूद केले आहे की स्वाक्षरी केलेल्या वस्तू टॅंपर-प्रूफ पब्लिक जर्नलमध्ये साठवल्या जातात.
सिगस्टोर विकसकांना सॉफ्टवेअरच्या उत्पत्तीची आणि सत्यतेची पुष्टी करण्यास आणि पुष्टी करण्यास सक्षम बनविण्याचा प्रयत्न करतो जे बर्याचदा दृष्टिकोन आणि डेटा स्वरूपाच्या सेटवर आधारित नसते. विद्यमान उपाय बहुतेक वेळेस असुरक्षित प्रणाल्यांवर साठवलेल्या "सारांश" (हॅश किंवा हॅश फंक्शनचा परिणाम) वर आधारित असतात जे भ्रष्ट होऊ शकतात आणि हॅश एक्सचेंज किंवा हॅश फंक्शन सारख्या विविध हल्ल्यांना कारणीभूत ठरतात, वापरकर्त्यांविरूद्ध केलेले हल्ले.
सेवेचा वापर सर्व सॉफ्टवेअर विकसक आणि विक्रेत्यांसाठी विनामूल्य असेल, आणि सिगस्टोअर समुदाय सिगस्टोअरसाठी कोड आणि परिचालन साधने विकसित करेल. रेड हॅट, गुगल आणि पर्ड्यू युनिव्हर्सिटी या प्रकल्पातील संस्थापक सदस्यांपैकी एक आहेत.
"सिगस्टोर सर्व मुक्त स्त्रोत समुदायांना त्यांच्या सॉफ्टवेअरवर स्वाक्षरी करण्यास सक्षम करते आणि पारदर्शक आणि सत्यापित करण्यायोग्य सॉफ्टवेअर पुरवठा साखळी तयार करण्यासाठी प्रवीणता, अखंडता आणि शोधण्याशी जोडले जाते," रेड हॅट सीटीओ ऑफिसचे मुख्य सुरक्षा अधिकारी ल्यूक हिंड्स म्हणाले. "लिनक्स फाउंडेशन येथे या सहकार्याचे आयोजन करून आम्ही सिगस्टोअरवरील आमच्या कार्यास गती देऊ आणि ओपन सोर्स सॉफ्टवेअर आणि विकासाचा सतत अवलंब करणे आणि त्याचा प्रभाव ठेवू शकतो."
“सॉफ्टवेअर अंमलबजावणीची सुरवात आम्ही आमच्याकडे असलेले सॉफ्टवेअर चालवत आहोत याची खात्री करुनच सुरुवात केली पाहिजे. ओपन सोर्स सॉफ्टवेअर सप्लाई साखळीवर अधिक विश्वास आणि पारदर्शकता आणण्याची उत्तम संधी सिगस्टोर दर्शवते, ”जोश asस म्हणाले
असा युक्तिवाद करत आहे की आधुनिक सॉफ्टवेअर पुरवठा साखळी एकाधिक जोखमीला सामोरे आहे, प्रोजेक्ट म्हणतो की विद्यमान टूल्स, ज्यामध्ये कळावर स्वाक्षरी करण्यासाठी व्यक्तींनी व्यक्तिशः भेट घेणे आणि त्यात बरेच दिवस चांगले कार्य केले आहे, आजच्या वातावरणात भौगोलिकदृष्ट्या विखुरलेल्या भागासह यापुढे साध्य करता येणार नाही.
तसेच, असे नमूद केले आहे असे बरेच ओपन सोर्स प्रोजेक्ट आहेत जे सॉफ्टवेअर आवृत्तीवर कृत्रिमरीत्या स्वाक्षरी करतात. मुख्य व्यवस्थापन, मुख्य तडजोड, निरस्तीकरण आणि सार्वजनिक की आणि हॅश आर्टिफॅक्ट्सचे वितरण या प्रकरणात सॉफ्टवेअर देखभालकर्त्यांना आव्हान देण्याचे मोठे कारण आहे. याचा अर्थ असा आहे की वापरकर्त्यांनी स्वाक्षरी सत्यापित करण्यासाठी आवश्यक असलेल्या चरणांवर विश्वास ठेवणे आणि शिकणे आवश्यक आहे.
“सिगस्टोरचे उद्दीष्ट ओपन सोर्स सॉफ्टवेअरच्या सर्व आवृत्त्या पडताळण्यायोग्य बनविणे आणि वापरकर्त्यांद्वारे पडताळणी सुलभ करणे हे आहे. आशा आहे की आम्ही यास विममधून बाहेर पडण्याइतकेच सोपे बनवू शकतो, "गूगलच्या ओपन सोर्स सॉफ्टवेअर सुरक्षा कार्यसंघाचे सॉफ्टवेअर अभियंता डॅन लोरेन्क म्हणाले.
हॅश आणि सार्वजनिक की कशा वितरित केल्या जातात हे आणखी एक समस्या आहेः ते बर्याचदा संभाव्य हॅक केलेल्या वेबसाइटवर किंवा सार्वजनिक गिट रेपॉजिटरीमध्ये असलेल्या रीडएमई फाइलमध्ये संग्रहित केले जातात.
सिगस्टोर एक मुक्त आणि सत्यापित करण्यायोग्य सार्वजनिक पारदर्शकता रेजिस्ट्रीमधून काढलेल्या विश्वासाच्या मुळासह अल्पायुषी इफिमेरल की वापरुन या समस्यांचे निराकरण करण्याचा प्रयत्न करीत आहे. नवीन सेवा विकसकांना आणि वापरकर्त्यांना कमीतकमी ओव्हरहेडसह सॉफ्टवेअरची मूळ व सत्यता समजण्यास आणि पुष्टी करण्यास मदत करेल.
“सिगस्टोरसारख्या यंत्रणेबद्दल मी खूप उत्साही आहे. सॉफ्टवेअर इकोसिस्टमला पुरवठा शृंखलाच्या स्थितीबद्दल अहवाल देण्यासाठी तातडीने अशा सिस्टमची आवश्यकता आहे. मला वाटते की सिगस्टोर, जे सॉफ्टवेअर स्त्रोत आणि मालकी या सर्व प्रश्नांची उत्तरे देते, आम्ही गुन्हेगारी नेटवर्क ओळखण्यासाठी आणि गंभीर सॉफ्टवेअर मूलभूत संरचना सुरक्षित करण्यासाठी सॉफ्टवेअर गंतव्ये, ग्राहक, अनुपालन (कायदेशीर व अन्यथा) याविषयी प्रश्न विचारण्यास सुरवात करू शकतो. ”, सॅन्टियागो टॉरेस-एरियस म्हणाले