Inilabas ang balita na sa GitHub isang panukala ang inilagay para sa talakayan upang ipatupad ang serbisyo Sigstore para i-verify ang mga package na may mga digital na lagda at mapanatili ang isang pampublikong rekord upang kumpirmahin ang pagiging tunay kapag namamahagi ng mga release.
Tungkol sa panukala nabanggit na ang paggamit ng Sigstore ay magpapahintulot na magpatupad ng karagdagang antas ng proteksyon laban sa mga pag-atake na naglalayong palitan ang mga bahagi ng software at dependencies (supply chain).
Ang pag-secure ng software supply chain ay isa sa mga pinakamalaking hamon sa seguridad na kinakaharap ng aming industriya ngayon. Ang panukalang ito ay isang mahalagang susunod na hakbang, ngunit ang tunay na paglutas sa hamong ito ay mangangailangan ng pangako at pamumuhunan mula sa buong komunidad…
Nakakatulong ang mga pagbabagong ito na protektahan ang mga open source na consumer mula sa mga pag-atake ng software supply chain; sa madaling salita, kapag nagtangka ang mga malisyosong user na magpakalat ng malware sa pamamagitan ng paglabag sa account ng maintainer at pagdaragdag ng malware sa mga open source na dependency na ginagamit ng maraming developer.
Halimbawa, poprotektahan ng ipinatupad na pagbabago ang mga pinagmumulan ng proyekto kung sakaling makompromiso ang developer account ng isa sa mga dependency ng NPM at ang isang attacker ay bubuo ng pag-update ng package na may malisyosong code.
Nararapat na banggitin na ang Sigstore ay hindi lamang isa pang tool sa pag-sign ng code, dahil ang normal na diskarte nito ay alisin ang pangangailangan na pamahalaan ang mga signing key sa pamamagitan ng pag-isyu ng mga panandaliang key batay sa mga pagkakakilanlan ng OpenID Connect (OIDC), habang sa parehong oras ay nagtatala ng mga aksyon. sa isang hindi nababagong ledger na tinatawag na rekor, bukod pa sa kung saan ang Sigstore ay may sariling awtoridad sa sertipikasyon na tinatawag na Fulcio
Salamat sa bagong antas ng proteksyon, magagawa ng mga developer na i-link ang nabuong package sa ginamit na source code at ang build environment, na nagbibigay ng pagkakataon sa user na i-verify na ang mga nilalaman ng package ay tumutugma sa mga nilalaman ng mga source sa pangunahing repository ng proyekto.
Ang paggamit ng Sigstore lubos na pinapasimple ang pangunahing proseso ng pamamahala at inaalis ang mga kumplikadong nauugnay sa pagpaparehistro, pagbawi, at pamamahala ng cryptographic key. Itinataguyod ng Sigstore ang sarili nito bilang Let's Encrypt para sa code, na nagbibigay ng mga certificate para sa digitally signing code at mga tool upang i-automate ang pag-verify.
Nagbubukas kami ng bagong Request for Comments (RFC) ngayon, na tumitingin sa pag-binding ng package sa source repository nito at build environment. Kapag pinili ng mga package maintainer ang system na ito, mas magkakaroon ng kumpiyansa ang mga consumer ng kanilang mga package na tumutugma ang content ng package sa content ng naka-link na repository.
Sa halip na mga permanenteng susi, Gumagamit ang Sigstore ng mga panandaliang ephemeral key na nabuo batay sa mga pahintulot. Ang materyal na ginamit para sa lagda ay makikita sa isang pampublikong rekord na protektado ng pagbabago, na nagbibigay-daan sa iyong matiyak na ang may-akda ng lagda ay eksakto kung sino ang sinasabi nila, at ang pirma ay nabuo ng parehong kalahok na responsable.
Ang proyekto ay nakakita ng maagang pag-aampon sa iba pang mga package manager ecosystem. Sa RFC ngayon, iminumungkahi naming magdagdag ng suporta para sa end-to-end na pag-sign ng mga npm package gamit ang Sigstore. Kasama sa prosesong ito ang pagbuo ng mga sertipikasyon tungkol sa kung saan, kailan at paano ginawa ang package, para ma-verify ito sa ibang pagkakataon.
Upang matiyak ang integridad at proteksyon laban sa katiwalian ng data, isang istraktura ng puno ng Merkle Tree ang ginagamit kung saan sinusuri ng bawat sangay ang lahat ng pinagbabatayan na sangay at node sa pamamagitan ng magkasanib na hash (puno). Sa pamamagitan ng pagkakaroon ng trailing hash, mabe-verify ng user ang kawastuhan ng buong history ng operasyon, gayundin ang kawastuhan ng mga nakaraang estado ng database (ang root check hash ng bagong estado ng database ay kinakalkula kung isasaalang-alang ang nakaraang estado).
Sa wakas, nararapat na banggitin na ang Sigstore ay sama-samang binuo ng Linux Foundation, Google, Red Hat, Purdue University, at Chainguard.
Kung gusto mong malaman ang higit pa tungkol dito, maaari mong konsultahin ang mga detalye sa ang sumusunod na link.