Nyheten släpptes att på GitHub har ett förslag lagts upp för diskussion för att implementera tjänsten Sigstore för att verifiera paket med digitala signaturer och upprätthålla ett offentligt register för att bekräfta äktheten vid distribution av utgåvor.
Om förslaget nämns att användningen av Sigstore kommer att göra det möjligt att implementera en ytterligare skyddsnivå mot attacker som syftar till att ersätta programvarukomponenter och beroenden (försörjningskedja).
Att säkra mjukvaruförsörjningskedjan är en av de största säkerhetsutmaningarna som vår bransch står inför just nu. Detta förslag är ett viktigt nästa steg, men att verkligen lösa denna utmaning kommer att kräva engagemang och investeringar från hela samhället...
Dessa förändringar hjälper till att skydda konsumenter med öppen källkod från attacker från programvarans leveranskedja; med andra ord, när illvilliga användare försöker sprida skadlig programvara genom att bryta mot en underhållares konto och lägga till skadlig programvara till de beroenden av öppen källkod som används av många utvecklare.
Till exempel kommer den implementerade ändringen att skydda projektkällor ifall utvecklarkontot för ett av beroenden i NPM äventyras och en angripare genererar en paketuppdatering med skadlig kod.
Det är värt att nämna att Sigstore inte bara är ytterligare ett kodsigneringsverktyg, eftersom dess normala tillvägagångssätt är att eliminera behovet av att hantera signeringsnycklar genom att utfärda korttidsnycklar baserade på OpenID Connect (OIDC) identiteter, samtidigt som åtgärderna registreras i en oföränderlig reskontra som heter rekor, dessutom har Sigstore en egen certifieringsmyndighet som heter Fulcio
Tack vare den nya skyddsnivån, utvecklare kommer att kunna länka det genererade paketet med källkoden som används och byggmiljön, vilket ger användaren möjlighet att verifiera att innehållet i paketet överensstämmer med innehållet i källorna i projektets huvudarkiv.
Användningen av Sigstore förenklar nyckelhanteringsprocessen avsevärt och eliminerar komplexiteten i samband med registrering, återkallelse och kryptografisk nyckelhantering. Sigstore marknadsför sig som Let's Encrypt for code, tillhandahåller certifikat för digital signering av kod och verktyg för att automatisera verifiering.
Vi öppnar en ny Request for Comments (RFC) idag, som tittar på att binda ett paket till dess källlager och byggmiljö. När paketunderhållare väljer detta system kan konsumenter av deras paket ha mer förtroende för att innehållet i paketet matchar innehållet i det länkade förrådet.
Istället för permanenta nycklar, Sigstore använder kortlivade tillfälliga nycklar som genereras baserat på behörigheter. Materialet som används för signaturen återspeglas i ett modifieringsskyddat offentligt register, vilket gör att du kan säkerställa att författaren till signaturen är exakt den de säger att de är, och att signaturen bildades av samma deltagare som var ansvarig.
Projektet har setts tidigt med andra ekosystem för pakethanterare. Med dagens RFC föreslår vi att lägga till stöd för end-to-end signering av npm-paket med Sigstore. Denna process skulle innefatta generering av certifieringar om var, när och hur paketet skapades, så att det kan verifieras senare.
För att säkerställa integritet och skydd mot datakorruption, en Merkle Tree-trädstruktur används där varje gren kontrollerar alla underliggande grenar och noder via gemensam hash (träd). Genom att ha en efterföljande hash kan användaren verifiera riktigheten av hela operationshistoriken, såväl som riktigheten av tidigare databastillstånd (rotkontrollhashen för det nya databastillståndet beräknas med hänsyn till det tidigare tillståndet).
Slutligen är det värt att nämna att Sigstore är gemensamt utvecklat av Linux Foundation, Google, Red Hat, Purdue University och Chainguard.
Om du vill veta mer om det kan du konsultera detaljerna i följande länk.