Dalam usaha mengamankan rantaian bekalan perisian percuma, the Yayasan Linux (organisasi bukan untung yang memupuk inovasi melalui sumber terbuka) telah bekerjasama dengan Red Hat, Google, dan Purdue University untuk melancarkan projek baru untuk membantu pembangun menggunakan tanda tangan kriptografi dalam perisian dengan mudah.
ini projek baru disokong oleh teknologi ketelusan rekod, kerana kadar penggunaan perisian sumber terbuka industri yang semakin meningkat, projek, Sigstore, bertujuan untuk mencegah serangan ke repositori perisian awam daripada memasukkan kod yang rosak ke rantai bekalan.
Kedai Sigst akan membolehkan pembangun perisian menandatangani dengan selamat artifak perisian seperti fail versi, gambar bekas, dan binari. Disebutkan bahawa item yang ditandatangani disimpan dalam jurnal awam yang tidak mengandungi bukti.
SigStore bertujuan untuk membolehkan pembangun memahami dan mengesahkan asal-usul dan keaslian perisian yang berdasarkan pada set pendekatan dan format data yang sering berbeza. Penyelesaian yang ada sering didasarkan pada "ringkasan" (hash atau hasil dari fungsi hash) yang tersimpan pada sistem yang tidak selamat, yang dapat rosak dan mengakibatkan pelbagai serangan, seperti pertukaran hash atau fungsi hash, serangan yang ditujukan terhadap pengguna.
Penggunaan perkhidmatan akan percuma untuk semua pembangun dan vendor perisian, dan komuniti SigStore akan mengembangkan kod dan alat operasi untuk sigstore. Red Hat, Google dan Universiti Purdue adalah antara ahli pengasas projek ini.
"Sigstore membolehkan semua komuniti sumber terbuka untuk menandatangani perisian mereka dan menggabungkan ketahanan, integriti dan kebolehtemuan untuk membuat rangkaian bekalan perisian yang telus dan dapat disahkan," kata Luke Hinds, ketua pegawai keselamatan, pejabat CTO Red Hat. "Dengan mengadakan kolaborasi ini di Linux Foundation, kami dapat mempercepat pekerjaan kami di sigstore dan menyokong penerapan dan pengaruh perisian dan pengembangan sumber terbuka yang berterusan."
"Mengamankan implementasi perisian harus dimulai dengan memastikan bahawa kita menjalankan perisian yang menurut kita ada. sigstore merupakan peluang terbaik untuk membawa lebih banyak kepercayaan dan ketelusan ke rantaian bekalan perisian sumber terbuka, "kata Josh Aas
Dengan alasan bahawa rantaian bekalan perisian moden terdedah kepada pelbagai risiko, projek mengatakan bahawa alat yang ada, yang melibatkan orang yang bertemu secara langsung untuk menandatangani kunci, dan yang telah berjalan dengan baik sejak sekian lama, tidak lagi dapat dicapai dalam persekitaran hari ini dengan kawasan yang tersebar secara geografi.
Juga, disebutkan bahawa terdapat sangat sedikit projek sumber terbuka yang secara kriptografi menandakan artifak versi perisian. Ini sebahagian besarnya disebabkan oleh cabaran yang dihadapi oleh penyelenggara perisian dalam pengurusan kunci, kompromi utama, pencabutan dan pengedaran kunci awam dan artifak hash. Ini bermaksud bahawa pengguna mesti mengetahui kunci mana yang boleh dipercayai dan mempelajari langkah-langkah yang diperlukan untuk mengesahkan tandatangan.
“Sigstore bertujuan untuk memastikan semua versi perisian sumber terbuka dapat diverifikasi dan untuk memudahkan pengesahan oleh pengguna. Mudah-mudahan kita dapat menjadikannya semudah keluar dari vim, ”kata Dan Lorenc, jurutera perisian dalam pasukan keselamatan perisian sumber terbuka Google.
Masalah lain adalah bagaimana hash dan kunci awam diedarkan - kunci tersebut sering disimpan di laman web yang berpotensi diretas atau dalam fail README yang terletak di repositori git awam.
SigStore berusaha untuk mengatasi masalah ini dengan menggunakan kunci sementara yang pendek dengan akar kepercayaan yang diambil dari pendaftaran ketelusan awam yang terbuka dan dapat disahkan. Perkhidmatan baru akan membantu pemaju dan pengguna memahami dan mengesahkan asal dan keaslian perisian, dengan overhead minimum.
“Saya sangat teruja dengan sistem seperti sigstore. Ekosistem perisian sangat memerlukan sistem sedemikian untuk melaporkan status rantaian bekalan. Saya rasa dengan sigstore, yang menjawab semua pertanyaan mengenai sumber dan pemilikan perisian, kita dapat mulai mengajukan pertanyaan mengenai tujuan perisian, pengguna, kepatuhan (undang-undang dan sebaliknya), untuk mengenal pasti rangkaian jenayah dan mengamankan infrastruktur perisian kritikal. "