I ett försök att säkra den fria mjukvaruförsörjningskedjan Linux Foundation (den ideella organisationen som främjar innovation genom öppen källkod) har samarbetat med Red Hat, Google och Purdue University för att lansera ett nytt projekt för att hjälpa utvecklare att enkelt använda kryptografisk inloggningsprogramvara.
detta nytt projekt stöds av rekordstora transparensteknologier, eftersom den ständigt ökande industriella användningen av programvara med öppen källkod, projektet, Sigstore, syftar till att förhindra en attack mot ett offentligt programvarulager från att injicera korrupt kod i leveranskedjan.
sigstore kommer att tillåta mjukvaruutvecklare att säkert signera programvaruartefakter som releasefiler, behållarbilder och binärfiler. Det nämns att signerade föremål förvaras i en manipuleringssäker offentlig journal.
SigStore strävar efter att göra det möjligt för utvecklare att förstå och bekräfta ursprunget och äktheten av programvara som är baserad på en ofta olika uppsättning tillvägagångssätt och dataformat. Befintliga lösningar är ofta baserade på "sammandrag" (hash- eller hash-resultat) lagrade på osäkra system, vilket kan skadas och leda till olika attacker, såsom hash-byte eller hashfunktionsattacker riktade mot användare.
Användning av tjänsten kommer att vara gratis för alla utvecklare och programvaruleverantörer, och SigStore-gemenskapen kommer att utveckla koden och operativa verktyg för sigstore. Red Hat, Google och Purdue University är bland de grundande medlemmarna av projektet.
"Sigstore gör det möjligt för alla open source-gemenskaper att signera sin programvara och kombinerar härkomst, integritet och upptäckbarhet för att skapa en transparent och verifierbar mjukvaruförsörjningskedja", säger Luke Hinds, säkerhetschef på Red Hats CTO-kontor. "Genom att vara värd för detta samarbete på Linux Foundation, kan vi påskynda vårt arbete på sigstore och stödja den fortsatta adoptionen och effekten av programvara och utveckling med öppen källkod."
"Att säkra en mjukvaruimplementering måste börja med att se till att vi kör den programvara vi tror att vi har. sigstore representerar en fantastisk möjlighet att ge mer förtroende och transparens till leveranskedjan för öppen källkod, säger Josh Aas,
Med argumentet att den moderna mjukvaruförsörjningskedjan är utsatt för flera risker, projektet säger att befintliga verktyg, som innebär att människor träffas personligen för att signera nycklar, och som har fungerat bra så länge, inte längre kan uppnås i den nuvarande miljön med geografiskt spridda områden.
Dessutom nämns att Det finns väldigt få projekt med öppen källkod som kryptografiskt signerar programvaruversionsartefakter. Detta beror till stor del på de utmaningar som mjukvaruunderhållare möter i nyckelhantering, nyckelkompromettering, återkallande och distribution av offentliga nycklar och hash-artefakter. Detta innebär att användare måste ta reda på vilka nycklar de ska lita på och lära sig de steg som krävs för att validera signaturen.
”Sigstore har som mål att göra alla versioner av programvara med öppen källkod verifierbara och göra det enkelt för användare att verifiera. Förhoppningsvis kan vi göra detta lika enkelt som att avsluta vim, säger Dan Lorenc, en mjukvaruingenjör med Googles säkerhetsteam för öppen källkod.
Ett annat problem är hur hasharna och publika nycklar distribueras: de lagras ofta på potentiellt hackade webbplatser eller i en README-fil som finns i ett offentligt git-förråd.
SigStore försöker lösa dessa problem genom att använda kortlivade kortlivade nycklar med en rot av förtroende hämtad från ett öppet och verifierbart offentligt transparensregister. Den nya tjänsten kommer att hjälpa utvecklare och användare att förstå och bekräfta ursprunget och äktheten av programvara, med minimal omkostnad.
”Jag är väldigt exalterad över ett system som sigstore. Mjukvaruekosystemet behöver akut ett sådant system för att rapportera om statusen för försörjningskedjan. Jag tror att med sigstore, som svarar på alla frågor om mjukvarukällor och ägande, kan vi börja ställa frågor om programvarudestinationer, konsumenter, efterlevnad (juridiskt och annat), för att identifiera kriminella nätverk och säkra kritiska mjukvaruinfrastrukturer, säger Santiago Torres-Arias.