S-a dat vestea că Pe GitHub, o propunere de implementat serviciul Sigstore pentru a verifica pachetele cu semnături digitale și păstrați o înregistrare publică pentru a confirma autenticitatea la distribuirea versiunilor.
Despre propunere se menționează că utilizarea Sigstore vă va permite să implementați un nivel suplimentar de protecție împotriva atacurilor care vizează înlocuirea componentelor software și a dependențelor (lanțul de aprovizionare).
Securizarea lanțului de aprovizionare cu software este una dintre cele mai mari provocări de securitate cu care se confruntă industria noastră în acest moment. Această propunere este un următor pas important, dar rezolvarea cu adevărat a acestei provocări va necesita angajament și investiții în întreaga comunitate...
Aceste modificări ajută la protejarea consumatorilor open source împotriva atacurilor asupra lanțului de aprovizionare cu software; Cu alte cuvinte, atunci când utilizatorii rău intenționați încearcă să răspândească malware, încălcând contul unui întreținător și adăugând software rău intenționat la dependențele open source pe care mulți dezvoltatori le folosesc.
De exemplu, modificarea implementată va proteja sursele proiectului în cazul în care contul de dezvoltator al uneia dintre dependențele din NPM este compromis și un atacator generează o actualizare a pachetului cu cod rău intenționat.
Merită menționat faptul că Sigstore nu este doar un alt instrument de semnare a codului, deoarece abordarea sa normală este de a elimina necesitatea de a gestiona cheile de semnare prin emiterea de chei pe termen scurt bazate pe identitățile OpenID Connect (OIDC), în timp ce, de asemenea, înregistrează acțiunile într-un registru imuabil numit rekor, în plus, Sigstore are propria sa autoritate de certificare numită Fulcio
Datorită noului nivel de protecție, dezvoltatorii vor putea lega pachetul generat cu codul sursă utilizat și mediul de construcție, oferind utilizatorului posibilitatea de a verifica dacă conținutul pachetului corespunde conținutului surselor din depozitul principal al proiectului.
Folosind Sigstore simplifică foarte mult procesul de gestionare a cheilor și elimină complexitățile asociate cu înregistrarea, revocarea și gestionarea cheilor criptografice. Sigstore se autoproclamă Let's Encrypt pentru cod, oferind certificate pentru semnarea digitală a codului și instrumente pentru automatizarea verificării.
Astăzi deschidem o nouă solicitare de comentarii (RFC), care discută conectarea unui pachet la depozitul sursă și la mediul de compilare. Atunci când întreținerii pachetelor optează pentru acest sistem, consumatorii pachetelor lor pot avea mai multă încredere că conținutul pachetului se potrivește cu conținutul depozitului legat.
În loc de chei permanente, Sigstore utilizează chei efemere de scurtă durată care sunt generate pe baza permisiunilor. Materialul utilizat pentru semnătură este reflectat într-o înregistrare publică protejată împotriva modificărilor, permițându-vă să vă asigurați că autorul semnăturii este exact cine spune că este, iar semnătura a fost formată de același participant care a fost responsabil.
Proiectul a fost adoptat timpuriu cu alte ecosisteme de manageri de pachete. Cu RFC de astăzi, vă propunem să adăugați suport pentru semnarea end-to-end a pachetelor npm folosind Sigstore. Acest proces ar include generarea de certificări despre unde, când și cum a fost creat pachetul, astfel încât să poată fi verificat ulterior.
Pentru a asigura integritatea și protecție împotriva corupției datelor, se folosește o structură arborescentă Merkle Tree în care fiecare ramură verifică toate ramurile și nodurile subiacente prin hash comun (arborele). Având un hash final, utilizatorul poate verifica corectitudinea întregului istoric al operațiunilor, precum și corectitudinea stărilor anterioare ale bazei de date (hash-ul de verificare rădăcină a noii stări a bazei de date este calculat ținând cont de starea trecută).
În cele din urmă, merită menționat faptul că Sigstore este dezvoltat în comun de Linux Foundation, Google, Red Hat, Purdue University și Chainguard.
Dacă doriți să aflați mai multe despre el, puteți consulta detaliile în următorul link.