Da bi si zagotovil dobavno verigo brezplačne programske opreme, je Linux Foundation (neprofitna organizacija, ki spodbuja inovacije z odprto kodo) je pri zagonu sodeloval z Red Hat, Googlom in Univerzo Purdue nov projekt, ki razvijalcem pomaga pri lažjem sprejemanju kriptografskega podpisa v programski opremi.
ta nov projekt podpirajo rekordne tehnologije preglednosti, saj je vedno večja stopnja industrijskega sprejemanja odprtokodne programske opreme, projekt, Namen podjetja Sigstore je preprečiti, da bi napad na javno skladišče programske opreme v dobaviteljsko verigo vbrizgal pokvarjeno kodo.
sigstore bo razvijalcem programske opreme omogočil varno podpisovanje artefakti programske opreme, kot so datoteke z različicami, slike vsebnikov in binarne datoteke. Omenjeno je, da so podpisani predmeti shranjeni v nedovoljeni javni reviji.
SigStore želi razvijalcem omogočiti, da razumejo in potrdijo izvor in verodostojnost programske opreme, ki temelji na pogosto različnih naborih pristopov in podatkovnih formatov. Obstoječe rešitve pogosto temeljijo na "povzetkih" (zgoščevanje ali rezultati zgoščevalne funkcije), shranjenih v negotovih sistemih, ki so lahko poškodovani in vodijo do različnih napadov, kot sta izmenjava zgoščenk ali razprševanje, napadi, usmerjeni proti uporabnikom.
Uporaba storitve bo brezplačna za vse razvijalce in prodajalce programske opreme, in skupnost SigStore bo razvila kodo in operativna orodja za sigstore. Red Hat, Google in Purdue University so med ustanovnimi člani projekta.
"Sigstore vsem odprtokodnim skupnostim omogoča, da podpišejo svojo programsko opremo, in združuje izvor, celovitost in odkritost, da ustvari pregledno in preverljivo dobavno verigo programske opreme," je povedal Luke Hinds, glavni varnostni uradnik urada tehničnega direktorja Red Hat. "Z gostovanjem tega sodelovanja pri fundaciji Linux lahko pospešimo delo na Sigstoreju in podpremo nadaljnje sprejemanje in vpliv odprtokodne programske opreme in razvoj."
»Zagotavljanje izvedbe programske opreme se mora začeti s preverjanjem, ali uporabljamo programsko opremo, za katero mislimo, da jo imamo. sigstore je odlična priložnost, da v odprtokodno dobavno verigo programske opreme vnesemo več zaupanja in preglednosti, «je dejal Josh Aas,
Trdijo, da je sodobna dobavna veriga programske opreme izpostavljena številnim tveganjem, projekt pravi, da obstoječa orodja, ki vključujejo ljudi, ki se osebno sestanejo, da podpišejo ključe in ki so že dolgo delali dobro, v današnjem okolju z geografsko razpršenimi območji ni več mogoče doseči.
Omenjeno je tudi, da odprtokodnih projektov, ki kriptografsko podpisujejo artefakte različice programske opreme, je zelo malo. To je predvsem posledica izzivov, s katerimi se vzdrževalci programske opreme soočajo pri upravljanju ključev, kompromisih ključnih besed, preklicu in distribuciji javnih ključev in artefaktov zgoščevanja. To pomeni, da morajo uporabniki ugotoviti, katerim ključem zaupati, in se naučiti korakov, potrebnih za preverjanje veljavnosti podpisa.
»Cilj podjetja Sigstore je preveriti vse različice odprtokodne programske opreme in uporabnikom olajšati preverjanje. Upajmo, da bomo to lahko olajšali kot izhod iz vima, «je povedal Dan Lorenc, programski inženir v Googlovi odprtokodni skupini za varnost programske opreme.
Druga težava je, kako se razpršijo heši in javni ključi - pogosto so shranjeni na potencialno vdrtih spletnih mestih ali v datoteki README, ki se nahaja v javnem git-repozitoriju.
SigStore skuša te težave odpraviti z uporabo kratkotrajnih kratkotrajnih ključev s korenskim zaupanjem, ki izhaja iz odprtega in preverljivega javnega registra preglednosti. Nova storitev bo razvijalcem in uporabnikom pomagala razumeti in potrditi izvor in pristnost programske opreme z minimalnimi dodatnimi stroški.
»Zelo sem navdušen nad sistemom, kot je sigstore. Programski ekosistem nujno potrebuje tak sistem, da poroča o stanju dobavne verige. Mislim, da lahko s storitvijo sigstore, ki odgovarja na vsa vprašanja o virih programske opreme in lastništvu, začnemo postavljati vprašanja o destinacijah programske opreme, potrošnikih, skladnosti (pravni in drugačni), da prepoznamo kriminalne mreže in zaščitimo kritično programsko infrastrukturo.