V snahe zabezpečiť dodávateľský reťazec slobodného softvéru, Linux Foundation (nezisková organizácia, ktorá podporuje inovácie prostredníctvom otvoreného zdroja) pri spustení uzavrel partnerstvo s Red Hat, Google a Purdue University nový projekt, ktorý vývojárom pomôže ľahko prijať kryptografický podpis v softvéri.
toto nový projekt je podporovaný technológiami transparentnosti záznamu, pretože projekt sa neustále zvyšuje v priemysle a prijíma softvér s otvoreným zdrojom, Cieľom spoločnosti Sigstore je zabrániť útoku na verejné úložisko softvéru, ktorý by vniesol poškodený kód do dodávateľského reťazca.
sigstore umožní vývojárom softvéru bezpečne sa podpísať softvérové artefakty, ako sú súbory verzií, obrázky kontajnerov a binárne súbory. Uvádza sa, že podpísané položky sú uložené vo verejnom vestníku chránenom proti neoprávnenej manipulácii.
Spoločnosť SigStore sa snaží umožniť vývojárom pochopiť a potvrdiť pôvod a autenticitu softvéru, ktorý je založený na často nesúrodom súbore prístupov a dátových formátov. Existujúce riešenia sú často založené na „súhrnoch“ (hash alebo výsledkoch hash funkcie) uložených v nezabezpečených systémoch, ktoré môžu byť poškodené a viesť k rôznym útokom, ako je napríklad výmena hash alebo hash funkcia, útoky zamerané proti používateľom.
Využitie služby bude zadarmo pre všetkých vývojárov a predajcov softvérua komunita SigStore vyvinie kód a prevádzkové nástroje pre sigstore. Medzi zakladajúcich členov projektu patria spoločnosti Red Hat, Google a Purdue University.
„Sigstore umožňuje všetkým komunitám otvoreného zdroja podpisovať svoj softvér a kombinuje pôvod, integritu a objaviteľnosť a vytvára transparentný a overiteľný dodávateľský reťazec softvéru,“ uviedol Luke Hinds, hlavný bezpečnostný pracovník kancelárie Red Hat CTO. „Hostením tejto spolupráce v nadácii Linux Foundation môžeme urýchliť našu prácu na sigstore a podporiť ďalšie prijatie a dopad open source softvéru a vývoja.“
„Zabezpečenie implementácie softvéru by malo začínať uistením sa, že používame softvér, o ktorom si myslíme, že ho máme. sigstore predstavuje skvelú príležitosť na dodanie väčšej dôvery a transparentnosti do dodávateľského reťazca softvéru s otvoreným zdrojom, “uviedol Josh Aas,
Argumentujúc tým, že moderný dodávateľský reťazec softvéru je vystavený viacerým rizikám, projekt hovorí, že existujúce nástroje, ktoré zahŕňajú osobné stretnutia ľudí, aby podpísali kľúče, a ktoré tak dlho dobre fungovali, v dnešnom prostredí s geograficky rozptýlenými oblasťami už nie je možné dosiahnuť.
Tiež sa o tom hovorí existuje len veľmi málo projektov otvoreného zdroja, ktoré kryptograficky podpisujú artefakty verzie softvéru. Je to do značnej miery spôsobené výzvami, ktorým správcovia softvéru čelia pri správe kľúčov, kľúčovým kompromisom, zrušeniu a distribúcii verejných kľúčov a hašovacích artefaktov. To znamená, že používatelia musia zistiť, ktorým kľúčom majú dôverovať, a naučiť sa kroky potrebné na overenie podpisu.
„Cieľom spoločnosti Sigstore je zabezpečiť verifikáciu všetkých verzií softvéru s otvoreným zdrojovým kódom a uľahčiť verifikáciu používateľom. Dúfajme, že to môžeme urobiť rovnako ľahko ako ukončenie vimu, “uviedol Dan Lorenc, softvérový inžinier v tíme zabezpečenia softvéru Google s otvoreným zdrojovým kódom.
Ďalším problémom je distribúcia hashov a verejných kľúčov - často sa ukladajú na potenciálne napadnutých webových stránkach alebo v súbore README umiestnenom vo verejnom úložisku git.
Spoločnosť SigStore sa snaží tieto problémy vyriešiť pomocou krátkodobých efemérnych kľúčov s koreňom dôvery získaných z otvoreného a overiteľného verejného registra transparentnosti. Nová služba pomôže vývojárom a používateľom porozumieť a potvrdiť pôvod a autenticitu softvéru s minimálnymi režijnými nákladmi.
"Som veľmi nadšený zo systému ako sigstore." Softvérový ekosystém nevyhnutne potrebuje takýto systém, aby mohol podávať správy o stave dodávateľského reťazca. Myslím si, že so spoločnosťou sigstore, ktorá odpovedá na všetky otázky týkajúce sa zdrojov softvéru a vlastníctva, môžeme začať klásť otázky týkajúce sa destinácií softvéru, spotrebiteľov, dodržiavania predpisov (legálnych aj iných), aby sme identifikovali zločinecké siete a zabezpečili kritické softvérové infraštruktúry. “, Uviedol Santiago Torres-Arias