О томе је објављена вест на ГитХуб-у је стављен предлог на дискусију за примену Сервис Сигсторе за верификацију пакета са дигиталним потписима и одржавају јавну евиденцију за потврду аутентичности приликом дистрибуције издања.
О предлогу се помиње да је коришћење Сигстора омогућиће имплементацију додатног нивоа заштите против напада који имају за циљ замену софтверских компоненти и зависности (ланац снабдевања).
Обезбеђивање ланца набавке софтвера један је од највећих безбедносних изазова са којима се тренутно суочава наша индустрија. Овај предлог је важан следећи корак, али заиста решавање овог изазова ће захтевати посвећеност и улагања из целе заједнице…
Ове промене помажу у заштити потрошача отвореног кода од напада на ланац набавке софтвера; другим речима, када злонамерни корисници покушавају да шире злонамерни софтвер проваљивањем налога одржаваоца и додавањем малвера у зависности отвореног кода које користе многи програмери.
На пример, имплементирана промена ће заштитити изворе пројекта у случају да је налог програмера једне од зависности у НПМ-у компромитован и нападач генерише ажурирање пакета са злонамерним кодом.
Вреди напоменути да Сигсторе није само још један алат за потписивање кода, јер је његов нормалан приступ да елиминише потребу за управљањем кључевима за потписивање издавањем краткорочних кључева на основу ОпенИД Цоннецт (ОИДЦ) идентитета, у исто време када бележи радње у непроменљивој књизи која се зове рекор, поред које Сигсторе има сопствено сертификационо тело под називом Фулцио
Захваљујући новом нивоу заштите, програмери ће моћи да повежу генерисани пакет са коришћеним изворним кодом и окружење за изградњу, дајући кориснику могућност да провери да ли садржај пакета одговара садржају извора у главном спремишту пројекта.
Употреба Сигстора у великој мери поједностављује процес управљања кључем и елиминише сложености повезане са регистрацијом, опозивом и управљањем криптографским кључевима. Сигсторе се промовише као Лет'с Енцрипт фор цоде, пружајући сертификате за дигитално потписивање кода и алате за аутоматизацију верификације.
Данас отварамо нови захтев за коментаре (РФЦ), који се бави повезивањем пакета са изворним спремиштем и окружењем за прављење. Када се одржаваоци пакета одлуче за овај систем, корисници њихових пакета могу имати више поверења да се садржај пакета поклапа са садржајем повезаног спремишта.
Уместо трајних кључева, Сигсторе користи краткотрајне ефемерне кључеве који се генеришу на основу дозвола. Материјал који се користи за потпис се огледа у јавном запису заштићеном модификацијом, што вам омогућава да будете сигурни да је аутор потписа тачно онај за кога кажу да јесте, а потпис је формирао исти учесник који је био одговоран.
Пројекат је рано усвојен са другим екосистемима менаџера пакета. Са данашњим РФЦ-ом, предлажемо да додамо подршку за потписивање нпм пакета од краја до краја користећи Сигсторе. Овај процес би укључивао генерисање сертификата о томе где, када и како је пакет креиран, како би се касније могао верификовати.
Да би се осигурао интегритет и заштиту од оштећења података, користи се структура дрвета Меркле Трее у којој свака грана проверава све основне гране и чворове преко заједничког хеша (стабла). Имајући завршни хеш, корисник може да провери исправност целокупне историје операција, као и тачност прошлих стања базе података (хеш за проверу корена новог стања базе података се израчунава узимајући у обзир прошло стање).
На крају, вреди напоменути да Сигсторе заједнички развијају Линук фондација, Гоогле, Ред Хат, Универзитет Пурдуе и Цхаингуард.
Ако желите да сазнате више о томе, можете погледати детаље у следећи линк.