Berita itu dikeluarkan di GitHub cadangan telah disediakan untuk perbincangan untuk dilaksanakan perkhidmatan tersebut Sigstore untuk mengesahkan pakej dengan tandatangan digital dan mengekalkan rekod awam untuk mengesahkan kesahihan semasa mengedarkan keluaran.
Mengenai cadangan itu disebutkan bahawa penggunaan Sigstore akan membolehkan untuk melaksanakan tahap perlindungan tambahan terhadap serangan yang bertujuan untuk menggantikan komponen perisian dan kebergantungan (rantaian bekalan).
Menjamin rantaian bekalan perisian ialah salah satu cabaran keselamatan terbesar yang dihadapi oleh industri kami sekarang. Cadangan ini merupakan langkah seterusnya yang penting, tetapi untuk benar-benar menyelesaikan cabaran ini memerlukan komitmen dan pelaburan daripada seluruh komuniti…
Perubahan ini membantu melindungi pengguna sumber terbuka daripada serangan rantaian bekalan perisian; dalam erti kata lain, apabila pengguna berniat jahat cuba menyebarkan perisian hasad dengan melanggar akaun penyelenggara dan menambahkan perisian hasad pada kebergantungan sumber terbuka yang digunakan oleh banyak pembangun.
Sebagai contoh, perubahan yang dilaksanakan akan melindungi sumber projek sekiranya akaun pembangun salah satu kebergantungan dalam NPM terjejas dan penyerang menjana kemas kini pakej dengan kod hasad.
Perlu dinyatakan bahawa Sigstore bukan sekadar alat menandatangani kod, kerana pendekatan biasa adalah untuk menghapuskan keperluan untuk mengurus kunci tandatangan dengan mengeluarkan kunci jangka pendek berdasarkan identiti OpenID Connect (OIDC), pada masa yang sama merekodkan tindakan dalam lejar tidak berubah yang dipanggil rekor, di samping itu Sigstore mempunyai pihak berkuasa pensijilan sendiri yang dipanggil Fulcio
Terima kasih kepada tahap perlindungan baharu, pembangun akan dapat memautkan pakej yang dijana dengan kod sumber yang digunakan dan persekitaran binaan, memberi pengguna peluang untuk mengesahkan bahawa kandungan pakej sepadan dengan kandungan sumber dalam repositori projek utama.
Penggunaan Sigstore sangat memudahkan proses pengurusan utama dan menghapuskan kerumitan yang berkaitan dengan pendaftaran, pembatalan dan pengurusan kunci kriptografi. Sigstore mempromosikan dirinya sebagai Let's Encrypt untuk kod, menyediakan sijil untuk kod tandatangan digital dan alatan untuk mengautomasikan pengesahan.
Kami membuka Permintaan untuk Komen (RFC) baharu hari ini, yang melihat pada pengikatan pakej kepada repositori sumber dan persekitaran binaannya. Apabila penyelenggara pakej memilih sistem ini, pengguna pakej mereka boleh lebih yakin bahawa kandungan pakej sepadan dengan kandungan repositori yang dipautkan.
Daripada kunci kekal, Sigstore menggunakan kunci ephemeral jangka pendek yang dijana berdasarkan kebenaran. Bahan yang digunakan untuk tandatangan ditunjukkan dalam rekod awam yang dilindungi pengubahsuaian, membolehkan anda memastikan bahawa pengarang tandatangan adalah tepat seperti yang mereka katakan, dan tandatangan itu dibentuk oleh peserta yang sama yang bertanggungjawab.
Projek ini telah melihat penggunaan awal dengan ekosistem pengurus pakej lain. Dengan RFC hari ini, kami mencadangkan untuk menambah sokongan untuk menandatangani pakej npm hujung ke hujung menggunakan Sigstore. Proses ini termasuk penjanaan pensijilan tentang tempat, bila dan cara pakej dibuat, supaya ia boleh disahkan kemudian.
Untuk memastikan integriti dan perlindungan terhadap rasuah data, struktur pokok Merkle Tree digunakan di mana setiap cawangan menyemak semua cawangan dan nod asas melalui cincang bersama (pokok). Dengan mempunyai cincang mengekor, pengguna boleh mengesahkan ketepatan keseluruhan sejarah operasi, serta ketepatan keadaan pangkalan data yang lalu (cincang semak akar bagi keadaan pangkalan data baharu dikira dengan mengambil kira keadaan masa lalu).
Akhir sekali, perlu dinyatakan bahawa Sigstore dibangunkan bersama oleh Yayasan Linux, Google, Red Hat, Universiti Purdue dan Chainguard.
Jika anda ingin mengetahui lebih lanjut mengenainya, anda boleh rujuk butiran dalam pautan berikut.