In een poging om de toeleveringsketen van gratis software te beveiligen, heeft de Linux Foundation (de non-profitorganisatie die innovatie stimuleert via open source) werkt samen met Red Hat, Google en Purdue University om te lanceren een nieuw project om ontwikkelaars te helpen eenvoudig cryptografische handtekeningen in software te implementeren.
Oosten nieuw project wordt ondersteund door recordtransparantietechnologieën, aangezien de steeds toenemende industriële acceptatiegraad van open source software, het project, Sigstore, is bedoeld om te voorkomen dat een aanval op een openbare software-opslagplaats corrupte code in de toeleveringsketen injecteert.
sigstore stelt softwareontwikkelaars in staat om veilig te ondertekenen software-artefacten zoals versiebestanden, containerafbeeldingen en binaire bestanden. Er wordt vermeld dat ondertekende items worden opgeslagen in een fraudebestendig openbaar tijdschrift.
SigStore probeert ontwikkelaars in staat te stellen de oorsprong en authenticiteit van software die is gebaseerd op een vaak ongelijksoortige reeks benaderingen en gegevensformaten, te begrijpen en te bevestigen. Bestaande oplossingen zijn vaak gebaseerd op "digests" (hash of resultaten van een hash-functie) die zijn opgeslagen op onveilige systemen, die kunnen worden beschadigd en kunnen leiden tot verschillende aanvallen, zoals hash-uitwisseling of hash-functie, aanvallen gericht tegen gebruikers.
Het gebruik van de dienst is gratis voor alle softwareontwikkelaars en leveranciers, en de SigStore-gemeenschap zal de code en operationele tools voor de sigstore ontwikkelen. Red Hat, Google en Purdue University behoren tot de oprichters van het project.
"Sigstore stelt alle open source-gemeenschappen in staat om hun software te ondertekenen en combineert herkomst, integriteit en vindbaarheid om een transparante en verifieerbare softwareleveringsketen te creëren", zegt Luke Hinds, Chief Security Officer, Red Hat CTO-kantoor. "Door deze samenwerking bij de Linux Foundation te hosten, kunnen we ons werk aan sigstore versnellen en de voortdurende acceptatie en impact van open source software en ontwikkeling ondersteunen."
“Het beveiligen van een software-implementatie moet beginnen met ervoor te zorgen dat we de software gebruiken die we denken te hebben. sigstore is een geweldige kans om meer vertrouwen en transparantie te brengen in de toeleveringsketen van open source software, ”aldus Josh Aas,
Beweren dat de moderne softwareleveringsketen aan meerdere risico's is blootgesteld, het project zegt dat bestaande tools, waarbij mensen elkaar persoonlijk ontmoeten om sleutels te ondertekenen, en die al zo lang goed werken, kan niet langer worden bereikt in de huidige omgeving met geografisch verspreide gebieden.
Ook wordt dat vermeld er zijn maar weinig open source-projecten die artefacten van softwareversies cryptografisch ondertekenen. Dit is grotendeels te danken aan de uitdagingen waarmee software-beheerders worden geconfronteerd bij sleutelbeheer, sleutelcompromissen, intrekking en distributie van openbare sleutels en hash-artefacten. Dit betekent dat gebruikers moeten uitzoeken welke sleutels ze kunnen vertrouwen en de stappen moeten leren die nodig zijn om de handtekening te valideren.
“Sigstore streeft ernaar om alle versies van open source software verifieerbaar te maken en verificatie door gebruikers te vergemakkelijken. Hopelijk kunnen we dit net zo gemakkelijk maken als het verlaten van vim ”, zegt Dan Lorenc, software-engineer bij het open source-softwarebeveiligingsteam van Google.
Een ander probleem is hoe hashes en openbare sleutels worden gedistribueerd: ze worden vaak opgeslagen op mogelijk gehackte websites of in een README-bestand in een openbare git-repository.
SigStore probeert deze problemen aan te pakken door kortstondige kortstondige sleutels te gebruiken met een vertrouwensbasis die is ontleend aan een open en verifieerbaar openbaar transparantieregister. De nieuwe service helpt ontwikkelaars en gebruikers de oorsprong en authenticiteit van de software te begrijpen en te bevestigen, met minimale overhead.
“Ik ben erg enthousiast over een systeem als sigstore. Het software-ecosysteem heeft een dergelijk systeem dringend nodig om te rapporteren over de status van de supply chain. Ik denk dat we met sigstore, dat alle vragen over softwarebronnen en eigendom beantwoordt, vragen kunnen gaan stellen over softwarebestemmingen, consumenten, compliance (wettelijk en anderszins), om criminele netwerken te identificeren en kritieke software-infrastructuren te beveiligen. ”, Aldus Santiago Torres-Arias