Het nieuws werd vrijgegeven dat op GitHub is een voorstel ter discussie gesteld om te implementeren de dienst Sigstore om pakketten te verifiëren met digitale handtekeningen en een openbaar register bijhouden om de authenticiteit te bevestigen bij het verspreiden van releases.
Over het voorstel wordt vermeld dat het gebruik van Sigstore zal het mogelijk maken om een extra niveau van bescherming te implementeren tegen aanvallen gericht op het vervangen van softwarecomponenten en afhankelijkheden (supply chain).
Het beveiligen van de softwaretoeleveringsketen is een van de grootste beveiligingsuitdagingen waarmee onze branche momenteel wordt geconfronteerd. Dit voorstel is een belangrijke volgende stap, maar het echt oplossen van deze uitdaging vereist inzet en investeringen van de hele gemeenschap...
Deze veranderingen helpen open source-consumenten te beschermen tegen aanvallen op de toeleveringsketen van software; met andere woorden, wanneer kwaadwillende gebruikers proberen malware te verspreiden door het account van een beheerder te schenden en malware toe te voegen aan de open source-afhankelijkheden die door veel ontwikkelaars worden gebruikt.
De geïmplementeerde wijziging beschermt bijvoorbeeld projectbronnen in het geval dat het ontwikkelaarsaccount van een van de afhankelijkheden in NPM wordt gecompromitteerd en een aanvaller een pakketupdate met schadelijke code genereert.
Het is vermeldenswaard dat Sigstore niet zomaar een tool voor het ondertekenen van codes is, omdat het de normale aanpak is om de noodzaak om ondertekeningssleutels te beheren te elimineren door kortetermijnsleutels uit te geven op basis van OpenID Connect (OIDC) -identiteiten, terwijl de acties worden vastgelegd in een onveranderlijk grootboek genaamd rekor, daarnaast heeft Sigstore zijn eigen certificeringsinstantie genaamd Fulcio
Dankzij het nieuwe beschermingsniveau ontwikkelaars kunnen het gegenereerde pakket koppelen aan de gebruikte broncode en de bouwomgeving, waardoor de gebruiker de mogelijkheid krijgt om te verifiëren dat de inhoud van het pakket overeenkomt met de inhoud van de bronnen in de hoofdrepository van het project.
Het gebruik van Sigstore vereenvoudigt het sleutelbeheerproces aanzienlijk en elimineert de complexiteit die gepaard gaat met registratie, intrekking en cryptografische sleutelbeheer. Sigstore promoot zichzelf als Let's Encrypt for code en levert certificaten voor het digitaal ondertekenen van code en tools om verificatie te automatiseren.
We openen vandaag een nieuwe Request for Comments (RFC), waarin wordt gekeken naar het binden van een pakket aan de bronrepository en de build-omgeving. Wanneer pakketbeheerders voor dit systeem kiezen, kunnen consumenten van hun pakketten er meer op vertrouwen dat de inhoud van het pakket overeenkomt met de inhoud van de gekoppelde repository.
In plaats van permanente sleutels, Sigstore gebruikt kortstondige kortstondige sleutels die worden gegenereerd op basis van machtigingen. Het materiaal dat voor de handtekening is gebruikt, wordt weerspiegeld in een openbaar register dat tegen wijzigingen is beschermd, zodat u zeker weet dat de auteur van de handtekening precies is wie hij zegt dat hij is, en dat de handtekening is gevormd door dezelfde deelnemer die verantwoordelijk was.
Het project is in een vroeg stadium geadopteerd met andere ecosystemen van pakketbeheerders. Met de RFC van vandaag stellen we voor om ondersteuning toe te voegen voor end-to-end ondertekening van npm-pakketten met Sigstore. Dit proces omvat het genereren van certificeringen over waar, wanneer en hoe het pakket is gemaakt, zodat het later kan worden geverifieerd.
Om integriteit te waarborgen en bescherming tegen gegevenscorruptie, er wordt een Merkle Tree-boomstructuur gebruikt waarbij elke vertakking alle onderliggende vertakkingen en knooppunten controleert via gezamenlijke hash (boom). Door een volghash te hebben, kan de gebruiker de juistheid van de volledige bewerkingsgeschiedenis verifiëren, evenals de juistheid van eerdere databasestatussen (de rootcheck-hash van de nieuwe databasestatus wordt berekend rekening houdend met de eerdere status).
Ten slotte is het vermeldenswaard dat Sigstore gezamenlijk is ontwikkeld door de Linux Foundation, Google, Red Hat, Purdue University en Chainguard.
Als u er meer over wilt weten, kunt u de details raadplegen in de volgende link.