Aby zabezpieczyć łańcuch dostaw wolnego oprogramowania, rozszerzenie Linux Foundation (organizacja non-profit, która wspiera innowacje poprzez open source) nawiązał współpracę z Red Hat, Google i Purdue University w celu uruchomienia nowy projekt, który ma pomóc programistom w łatwym stosowaniu podpisów kryptograficznych w oprogramowaniu.
to nowy projekt jest wspierany przez technologie przezroczystości rekordów, jako że stale rosnący współczynnik upowszechnienia oprogramowania open source w przemyśle Sigstore ma na celu zapobieżenie wstrzyknięciu uszkodzonego kodu do łańcucha dostaw podczas ataku na publiczne repozytorium oprogramowania.
Sklepy umożliwi programistom bezpieczne podpisywanie artefakty oprogramowania, takie jak pliki wersji, obrazy kontenerów i pliki binarne. Wspomina się, że podpisane pozycje są przechowywane w zabezpieczonym przed fałszerstwami dzienniku publicznym.
SigStore stara się umożliwić programistom zrozumienie i potwierdzenie pochodzenia i autentyczności oprogramowania opartego na często odmiennym zestawie podejść i formatów danych. Istniejące rozwiązania często opierają się na „podsumowaniach” (skrótach lub wynikach funkcji skrótu) przechowywanych w niezabezpieczonych systemach, które mogą ulec uszkodzeniu i prowadzić do różnych ataków, takich jak wymiana skrótu lub funkcja skrótu, ataki skierowane na użytkowników.
Korzystanie z usługi będzie bezpłatny dla wszystkich twórców oprogramowania i sprzedawców, a społeczność SigStore opracuje kod i narzędzia operacyjne dla sigstore. Red Hat, Google i Purdue University należą do założycieli projektu.
„Sigstore umożliwia wszystkim społecznościom open source podpisywanie ich oprogramowania i łączy pochodzenie, integralność i wykrywalność w celu stworzenia przejrzystego i weryfikowalnego łańcucha dostaw oprogramowania” - powiedział Luke Hinds, dyrektor ds. Bezpieczeństwa w biurze Red Hat CTO. „Hostując tę współpracę w Linux Foundation, możemy przyspieszyć naszą pracę nad sigstore i wspierać dalsze wdrażanie i wpływ oprogramowania open source i rozwoju”.
„Zabezpieczenie implementacji oprogramowania powinno rozpocząć się od upewnienia się, że używamy oprogramowania, które naszym zdaniem mamy. sigstore to świetna okazja, aby zwiększyć zaufanie i przejrzystość w łańcuchu dostaw oprogramowania open source ”- powiedział Josh Aas,
Argumentując, że łańcuch dostaw nowoczesnego oprogramowania jest narażony na wiele zagrożeń, projekt mówi, że istniejące narzędzia, które wymagają osobistego spotkania w celu podpisania kluczy i które sprawdzają się od tak dawna, nie można już osiągnąć w dzisiejszym środowisku z obszarami rozproszonymi geograficznie.
Wspomina się również, że istnieje bardzo niewiele projektów open source, które kryptograficznie podpisują artefakty wersji oprogramowania. Wynika to w dużej mierze z wyzwań, z jakimi borykają się opiekunowie oprogramowania w zakresie zarządzania kluczami, łamania klucza, unieważniania i dystrybucji kluczy publicznych i artefaktów skrótów. Oznacza to, że użytkownicy muszą dowiedzieć się, którym kluczom ufać, i nauczyć się kroków wymaganych do zweryfikowania podpisu.
„Sigstore ma na celu zapewnienie możliwości weryfikacji wszystkich wersji oprogramowania open source i ułatwienie weryfikacji przez użytkowników. Mamy nadzieję, że możemy to uczynić tak prostym, jak wyjście z Vima ”- powiedział Dan Lorenc, inżynier oprogramowania w zespole Google ds. Bezpieczeństwa oprogramowania open source.
Innym problemem jest sposób dystrybucji skrótów i kluczy publicznych: często są one przechowywane na potencjalnie zhakowanych witrynach internetowych lub w pliku README znajdującym się w publicznym repozytorium git.
SigStore stara się rozwiązać te problemy za pomocą krótkotrwałych kluczy efemerycznych, których źródłem zaufania jest otwarty i weryfikowalny publiczny rejestr przejrzystości. Nowa usługa pomoże programistom i użytkownikom zrozumieć i potwierdzić pochodzenie oraz autentyczność oprogramowania przy minimalnych kosztach.
„Jestem bardzo podekscytowany systemem takim jak sigstore. Ekosystem oprogramowania pilnie potrzebuje takiego systemu do raportowania stanu łańcucha dostaw. Myślę, że dzięki sigstore, który odpowiada na wszystkie pytania dotyczące źródeł oprogramowania i własności, możemy zacząć zadawać pytania o miejsca docelowe oprogramowania, konsumentów, zgodność (prawną i nie tylko), aby zidentyfikować sieci przestępcze i zabezpieczyć krytyczne infrastruktury oprogramowania. ”- powiedział Santiago Torres-Arias