To je bila objavljena novica na GitHubu je bil v razpravo dan predlog za izvedbo servis Sigstore za preverjanje paketov z digitalnimi podpisi in vzdrževati javno evidenco za potrditev pristnosti pri distribuciji izdaj.
O predlogu je omenjeno, da uporaba Sigstore omogoča uvedbo dodatne stopnje zaščite proti napadom, katerih cilj je zamenjava programskih komponent in odvisnosti (oskrbovalna veriga).
Zaščita dobavne verige programske opreme je eden največjih varnostnih izzivov, s katerimi se trenutno sooča naša industrija. Ta predlog je pomemben naslednji korak, vendar bo resnično reševanje tega izziva zahtevalo predanost in naložbe celotne skupnosti ...
Te spremembe pomagajo zaščititi uporabnike odprte kode pred napadi v dobavni verigi programske opreme; z drugimi besedami, ko zlonamerni uporabniki poskušajo razširiti zlonamerno programsko opremo tako, da vdrejo v račun vzdrževalca in dodajo zlonamerno programsko opremo odprtokodnim odvisnostim, ki jih uporabljajo številni razvijalci.
Izvedena sprememba bo na primer zaščitila vire projekta v primeru, da je račun razvijalca ene od odvisnosti v NPM ogrožen in napadalec ustvari posodobitev paketa z zlonamerno kodo.
Omeniti velja, da Sigstore ni le še eno orodje za podpisovanje kode, saj je njegov običajen pristop odpraviti potrebo po upravljanju ključev za podpisovanje z izdajanjem kratkoročnih ključev na podlagi identitet OpenID Connect (OIDC), hkrati pa beleži dejanja v nespremenljivi knjigi, imenovani rekor, poleg tega pa ima Sigstore lastno certifikacijsko agencijo, imenovano Fulcio
Zahvaljujoč novi stopnji zaščite, razvijalci bodo lahko povezali ustvarjeni paket z uporabljeno izvorno kodo in gradbeno okolje, kar daje uporabniku možnost, da preveri, ali vsebina paketa ustreza vsebini virov v glavnem repozitoriju projekta.
Uporaba Sigstore zelo poenostavi proces upravljanja ključev in odpravlja zapletenosti, povezane z registracijo, preklicem in upravljanjem kriptografskih ključev. Sigstore se promovira kot Let's Encrypt for code, saj zagotavlja certifikate za kodo za digitalno podpisovanje in orodja za avtomatsko preverjanje.
Danes odpiramo novo zahtevo za komentarje (RFC), ki obravnava vezavo paketa na njegovo izvorno skladišče in gradbeno okolje. Ko se vzdrževalci paketov odločijo za ta sistem, lahko potrošniki njihovih paketov bolj zaupajo, da se vsebina paketa ujema z vsebino povezanega repozitorija.
Namesto trajnih ključev, Sigstore uporablja kratkotrajne efemerne ključe, ki so ustvarjeni na podlagi dovoljenj. Material, uporabljen za podpis, se odraža v javni evidenci, zaščiteni s spreminjanjem, kar vam omogoča, da zagotovite, da je avtor podpisa točno tisti, za katerega se predstavlja, in da je podpis oblikoval isti udeleženec, ki je bil odgovoren.
Projekt je bil zgodaj sprejet z drugimi ekosistemi upravitelja paketov. Z današnjim RFC predlagamo dodajanje podpore za podpisovanje paketov npm od konca do konca z uporabo Sigstore. Ta postopek bi vključeval ustvarjanje potrdil o tem, kje, kdaj in kako je bil paket ustvarjen, tako da ga je mogoče pozneje preveriti.
Za zagotovitev integritete in zaščita pred poškodbami podatkov, uporabljena je drevesna struktura Merkle Tree v kateri vsaka veja preveri vse osnovne veje in vozlišča prek skupnega zgoščevanja (drevesa). Če ima končni hash, lahko uporabnik preveri pravilnost celotne zgodovine delovanja, kot tudi pravilnost preteklih stanj baze podatkov (root check hash novega stanja baze podatkov se izračuna glede na preteklo stanje).
Nazadnje je treba omeniti, da Sigstore skupaj razvijajo Linux Foundation, Google, Red Hat, Univerza Purdue in Chainguard.
Če želite izvedeti več o tem, si lahko ogledate podrobnosti v naslednjo povezavo.