Într-un efort de a securiza lanțul de aprovizionare cu software gratuit, Fundația Linux (organizația non-profit care promovează inovația prin sursă deschisă) a colaborat cu Red Hat, Google și Universitatea Purdue pentru lansare un nou proiect pentru a ajuta dezvoltatorii să adopte cu ușurință software-ul de semnare criptografică.
acest proiect nou este susținut de tehnologiile de transparență a jurnalelor, deoarece rata de adoptare industrială a software-ului open source crește constant, proiectul, Sigstore își propune să împiedice un atac asupra unui depozit public de software să injecteze cod corupt în lanțul de aprovizionare.
sigstore va permite dezvoltatorilor de software să semneze în siguranță artefacte software, cum ar fi fișiere de versiune, imagini container și binare. Se menționează că articolele semnate sunt stocate într-un jurnal public inviolabil.
SigStore își propune să permită dezvoltatorilor să înțeleagă și să confirme originea și autenticitatea software-ului care se bazează pe un set de abordări și formate de date adesea disparate. Soluțiile existente se bazează adesea pe „rezumate” (hash-uri sau rezultate ale unei funcții hash) stocate pe sisteme nesigure, care pot fi corupte și pot duce la diverse atacuri, cum ar fi schimbul de hash sau atacuri cu funcția hash care vizează utilizatorii.
Utilizarea serviciului va fi gratuit pentru toți dezvoltatorii și furnizorii de software, iar comunitatea SigStore va dezvolta codul sigstore și instrumentele operaționale. Red Hat, Google și Universitatea Purdue se numără printre membrii fondatori ai proiectului.
„Sigstore permite tuturor comunităților open source să-și semneze software-ul și combină proveniența, integritatea și capacitatea de descoperire pentru a crea un lanț de aprovizionare software transparent și verificabil”, a declarat Luke Hinds, director de securitate, biroul CTO Red Hat. . „Prin găzduirea acestei colaborări la Linux Foundation, ne putem accelera activitatea pe sigstore și putem sprijini adoptarea și impactul continuu al software-ului open source și al dezvoltării.”
„Asigurarea unei implementări de software ar trebui să înceapă prin a ne asigura că rulăm software-ul pe care credem că îl avem. sigstore reprezintă o oportunitate excelentă de a aduce mai multă încredere și transparență lanțului de aprovizionare cu software open source”, a spus Josh Aas,
Argumentând că lanțul modern de aprovizionare cu software este expus la riscuri multiple, proiectul spune că instrumentele existente, care implică întâlniri de oameni în persoană pentru a semna cheile și care au funcționat bine atât de mult timp, nu mai poate fi realizată în mediul actual cu zone dispersate geografic.
În plus, se menționează că Există foarte puține proiecte open source care semnează criptografic artefacte de lansare de software. Acest lucru se datorează în mare parte provocărilor cu care se confruntă întreținerii de software în gestionarea cheilor, angajamentele cheie, revocarea și distribuirea cheilor publice și artefactelor hash. Aceasta înseamnă că utilizatorii trebuie să-și dea seama în ce chei să aibă încredere și să învețe pașii necesari pentru a valida semnătura.
„Sigstore își propune să facă toate versiunile de software open source verificabile și să le fie mai ușor pentru utilizatori să le verifice. Sperăm că putem face acest lucru la fel de ușor ca și părăsirea vim”, a spus Dan Lorenc, inginer software din echipa de securitate software open source a Google.
O altă problemă este modul în care sunt distribuite hash-urile și cheile publice: acestea sunt adesea stocate pe site-uri web potențial piratate sau într-un fișier README situat într-un depozit public git.
SigStore încearcă să abordeze aceste probleme prin utilizarea cheilor efemere de scurtă durată cu o rădăcină de încredere extrasă dintr-un registru de transparență public deschis și verificabil. Noul serviciu va ajuta dezvoltatorii și utilizatorii să înțeleagă și să confirme originea și autenticitatea software-ului, cu cheltuieli minime.
„Sunt foarte încântat de un sistem precum sigstore. Ecosistemul software are nevoie urgent de un astfel de sistem pentru a raporta starea lanțului de aprovizionare. Cred că cu sigstore, care răspunde la toate întrebările despre sursele software și proprietatea, putem începe să punem întrebări despre destinațiile software, consumatori, conformitate (legală și de altă natură), pentru a identifica rețelele criminale și a securiza infrastructurile software critice.”, a spus Santiago Torres- Arii