I et forsøk på å sikre den gratis programvareforsyningskjeden, Linux Foundation (den ideelle organisasjonen som fremmer innovasjon gjennom åpen kildekode) har inngått et samarbeid med Red Hat, Google og Purdue University for å lansere et nytt prosjekt for å hjelpe utviklere med å vedta kryptografisk signatur i programvare.
Dette nytt prosjekt støttes av rekord transparens teknologier, som den stadig økende industrielle adopsjonen av åpen kildekode programvare, prosjektet, Sigstore, har som mål å forhindre et angrep på et offentlig programvarelager fra å injisere korrupt kode i forsyningskjeden.
sigstore vil tillate programvareutviklere å signere sikkert programvareartefakter som versjonsfiler, containerbilder og binærfiler. Det nevnes at signerte gjenstander lagres i et manipulasjonssikkert offentlig journal.
SigStore søker å gjøre det mulig for utviklere å forstå og bekrefte opprinnelsen og ektheten til programvare som er basert på et ofte ulikt sett med tilnærminger og dataformater. Eksisterende løsninger er ofte basert på "fordøyelser" (hasj eller resultater av en hashfunksjon) lagret på usikre systemer, som kan bli ødelagt og føre til forskjellige angrep, for eksempel hasjutveksling eller hasjfunksjon, angrep rettet mot brukere.
Bruken av tjenesten vil være gratis for alle programvareutviklere og leverandører, og SigStore-fellesskapet vil utvikle koden og operasjonsverktøyene for sigstore. Red Hat, Google og Purdue University er blant de grunnleggende medlemmene av prosjektet.
"Sigstore gjør det mulig for alle open source-samfunn å signere programvaren sin og kombinerer herkomst, integritet og oppdagbarhet for å skape en gjennomsiktig og kontrollerbar programvareleveringskjede," sa Luke Hinds, sikkerhetsansvarlig, Red Hat CTO-kontor. "Ved å være vertskap for dette samarbeidet i Linux Foundation, kan vi akselerere vårt arbeid med sigstore og støtte den fortsatte adopsjonen og effekten av åpen kildekode-programvare og utvikling."
“Å sikre en programvareimplementering bør begynne med å sørge for at vi kjører programvaren som vi tror vi har. sigstore representerer en flott mulighet til å gi mer tillit og gjennomsiktighet i leverandørkjeden for programvare med åpen kildekode, ”sa Josh Aas,
Hevder at den moderne programvareleverandørkjeden er utsatt for flere risikoer, prosjektet sier at eksisterende verktøy, som involverer mennesker som møtes personlig for å signere nøkler, og som har fungert bra så lenge, kan ikke lenger oppnås i dagens miljø med geografisk spredte områder.
Også er det nevnt at det er svært få open source-prosjekter som kryptografisk signerer gjenstander for programvareversjon. Dette skyldes i stor grad utfordringene programvarebehandlere står overfor i nøkkeladministrasjon, nøkkelkompromisser, tilbakekalling og distribusjon av offentlige nøkler og hash-gjenstander. Dette betyr at brukerne må finne ut hvilke nøkler de skal stole på og lære trinnene som kreves for å validere signaturen.
“Sigstore har som mål å gjøre alle versjoner av åpen kildekode-programvare verifiserbare og lette verifisering av brukere. Forhåpentligvis kan vi gjøre dette så enkelt som å avslutte vim, ”sa Dan Lorenc, programvareingeniør på Googles sikkerhetsavdeling for programvare med åpen kildekode.
Et annet problem er hvordan hash og offentlige nøkler distribueres: de lagres ofte på potensielt hackede nettsteder eller i en README-fil som ligger i et offentlig git-arkiv.
SigStore søker å løse disse problemene ved å bruke kortvarige kortvarige nøkler med en rot av tillit hentet fra et åpent og kontrollerbart offentlig åpenhetsregister. Den nye tjenesten vil hjelpe utviklere og brukere med å forstå og bekrefte opprinnelsen og ektheten til programvaren, med minimal overhead.
“Jeg er veldig spent på et system som sigstore. Programvareøkosystemet har et presserende behov for et slikt system for å rapportere om statusen til forsyningskjeden. Jeg tror med sigstore, som svarer på alle spørsmål om programvarekilder og eierskap, kan vi begynne å stille spørsmål om programvaredestinasjoner, forbrukere, overholdelse (lovlig og ellers), for å identifisere kriminelle nettverk og sikre kritisk programvareinfrastruktur. ”, Sa Santiago Torres-Arias