У настојању да осигура ланац снабдевања бесплатним софтвером, Линук Фоундатион (непрофитна организација која негује иновације путем отвореног кода) је партнер за покретање Ред Хат-а, Гоогле-а и Универзитета Пурдуе нови пројекат који помаже програмерима да лако усвоје криптографски потпис у софтверу.
ово нови пројекат је подржан рекордним технологијама транспарентности, јер све већа индустријска стопа усвајања софтвера отвореног кода, пројекат, Сигсторе има за циљ да спречи напад на јавно складиште софтвера да убаци оштећени код у ланац снабдевања.
Сигсторе омогућиће програмерима да се сигурно потпишу софтверски артефакти попут датотека верзија, слика контејнера и бинарних датотека. Спомиње се да се потписани предмети чувају у јавном часопису који неовлаштено приступа.
СигСторе настоји да омогући програмерима да разумеју и потврде порекло и аутентичност софтвера који се заснива на често различитом скупу приступа и форматима података. Постојећа решења се често заснивају на „сажетостима“ (хешевима или резултатима хеш функције) који се чувају на несигурним системима, а који могу бити оштећени и довести до различитих напада, попут размене хеша или хеш функције, напада усмерених на кориснике.
Коришћење услуге биће бесплатно свим програмерима и добављачима софтвера, а СигСторе заједница ће развити код и оперативне алате за сигсторе. Ред Хат, Гоогле и Универзитет Пурдуе међу оснивачима су пројекта.
„Сигсторе омогућава свим заједницама отвореног кода да потпишу свој софтвер и комбинује порекло, интегритет и могућност откривања како би створио транспарентан и проверљив ланац снабдевања софтвером“, рекао је Луке Хиндс, главни службеник за безбедност, канцеларије техничког директора Ред Хат-а. „Домаћином ове сарадње у Линук Фоундатион, можемо убрзати наш рад на Сигсторе-у и подржати континуирано усвајање и утицај софтвера и развоја отвореног кода.“
„Осигурање имплементације софтвера требало би да почне са осигуравањем да радимо са софтвером за који мислимо да га имамо. сигсторе представља сјајну прилику да унесете више поверења и транспарентности у ланац снабдевања софтвера отвореног кода “, рекао је Јосх Аас,
Тврдећи да је савремени ланац испоруке софтвера изложен вишеструким ризицима, пројекат каже да постојећи алати, који укључују људе који се лично састају да потпишу кључеве и који су толико дуго радили, више се не може постићи у данашњем окружењу са географски распрострањеним подручјима.
Такође, помиње се да врло је мало пројеката отвореног кода који криптографски потписују артефакте верзије софтвера. То је углавном због изазова са којима се одржавачи софтвера суочавају у управљању кључевима, компромисима кључева, опозиву и дистрибуцији јавних кључева и хеш-артефаката. То значи да корисници морају да схвате којим кључевима могу веровати и науче кораке потребне за потврђивање потписа.
„Сигсторе има за циљ да учини све верзије софтвера отвореног кода проверљивим и да олакша верификацију корисницима. Надамо се да ћемо ово учинити једноставним попут изласка из вим-а “, рекао је Дан Лоренц, софтверски инжењер у Гооглеовом тиму за сигурност софтвера отвореног кода.
Други проблем је како се дистрибуирају хешеви и јавни кључеви: они се често чувају на потенцијално хакованим веб локацијама или у РЕАДМЕ датотеци која се налази у јавном гит спремишту.
СигСторе настоји да се позабави овим проблемима користећи краткотрајне ефемерне кључеве са кореном поверења из отвореног и проверљивог јавног регистра транспарентности. Нова услуга ће помоћи програмерима и корисницима да разумеју и потврде порекло и аутентичност софтвера, уз минималне трошкове.
„Веома сам узбуђен због система попут сигсторе. Софтверском екосистему је хитно потребан такав систем да извештава о статусу ланца снабдевања. Мислим да са Сигсторе-ом, који одговара на сва питања о изворима софтвера и власништву, можемо почети постављати питања о софтверским дестинацијама, потрошачима, усклађености (законским и другим), да бисмо идентификовали криминалне мреже и осигурали критичне софтверске инфраструктуре. “, Рекао је Сантиаго Торрес-Ариас