Nyheten ble sluppet at på GitHub er det lagt opp et forslag til diskusjon for å implementere tjenesten Sigstore for å verifisere pakker med digitale signaturer og opprettholde en offentlig registrering for å bekrefte ektheten ved distribusjon av utgivelser.
Om forslaget nevnes at bruken av Sigstore vil tillate å implementere et ekstra beskyttelsesnivå mot angrep rettet mot å erstatte programvarekomponenter og avhengigheter (forsyningskjeden).
Sikring av programvareforsyningskjeden er en av de største sikkerhetsutfordringene vår industri står overfor akkurat nå. Dette forslaget er et viktig neste skritt, men å virkelig løse denne utfordringen vil kreve engasjement og investeringer fra hele samfunnet ...
Disse endringene bidrar til å beskytte åpen kildekode-forbrukere fra programvareforsyningskjedeangrep; med andre ord, når ondsinnede brukere forsøker å spre skadelig programvare ved å bryte en vedlikeholders konto og legge til skadelig programvare til åpen kildekode-avhengighetene som brukes av mange utviklere.
For eksempel vil den implementerte endringen beskytte prosjektkilder i tilfelle utviklerkontoen til en av NPM-avhengighetene blir kompromittert og en angriper genererer en pakkeoppdatering med ondsinnet kode.
Det er verdt å nevne at Sigstore ikke bare er et annet kodesigneringsverktøy, siden dets normale tilnærming er å eliminere behovet for å administrere signeringsnøkler ved å utstede kortsiktige nøkler basert på OpenID Connect (OIDC) identiteter, samtidig som handlingene registreres i en uforanderlig hovedbok kalt rekor, i tillegg til at Sigstore har en egen sertifiseringsinstans kalt Fulcio
Takket være det nye beskyttelsesnivået, utviklere vil kunne koble den genererte pakken med kildekoden som brukes og byggemiljøet, som gir brukeren mulighet til å verifisere at innholdet i pakken samsvarer med innholdet i kildene i hovedprosjektet.
Bruken av Sigstore forenkler nøkkeladministrasjonsprosessen betydelig og eliminerer kompleksiteten knyttet til registrering, tilbakekalling og kryptografisk nøkkelhåndtering. Sigstore markedsfører seg selv som Let's Encrypt for code, og gir sertifikater for digital signering av kode og verktøy for å automatisere verifisering.
Vi åpner en ny Request for Comments (RFC) i dag, som ser på å binde en pakke til kildelageret og byggemiljøet. Når pakkevedlikeholdere velger dette systemet, kan forbrukere av pakkene deres ha større tillit til at innholdet i pakken samsvarer med innholdet i det koblede depotet.
I stedet for permanente nøkler, Sigstore bruker kortvarige flyktige nøkler som genereres basert på tillatelser. Materialet som brukes til signaturen gjenspeiles i en modifikasjonsbeskyttet offentlig post, slik at du kan sikre at forfatteren av signaturen er nøyaktig den de sier de er, og signaturen ble dannet av den samme deltakeren som var ansvarlig.
Prosjektet har sett tidlig adopsjon med andre pakkeforvalterøkosystemer. Med dagens RFC foreslår vi å legge til støtte for ende-til-ende-signering av npm-pakker ved bruk av Sigstore. Denne prosessen vil inkludere generering av sertifiseringer om hvor, når og hvordan pakken ble opprettet, slik at den kan verifiseres senere.
For å sikre integritet og beskyttelse mot datakorrupsjon, en Merkle Tree-trestruktur brukes der hver gren sjekker alle underliggende grener og noder via felles hash (tre). Ved å ha en etterfølgende hash, kan brukeren verifisere riktigheten av hele operasjonshistorikken, så vel som riktigheten av tidligere databasetilstander (rotsjekkhashen til den nye databasetilstanden beregnes med tanke på tidligere tilstand).
Til slutt er det verdt å nevne at Sigstore er utviklet i fellesskap av Linux Foundation, Google, Red Hat, Purdue University og Chainguard.
Hvis du vil vite mer om det, kan du se detaljene i følgende lenke.