Öyle bir haber çıktı ki GitHub'da uygulanması için tartışmaya bir teklif sunuldu hizmet Paketleri doğrulamak için Sigstore yayınları dağıtırken orijinalliğini doğrulamak için dijital imzalarla ve halka açık bir kayıt tutun.
Teklif hakkında Sigstore'un kullanılmasından bahsediliyor. ek bir koruma seviyesi uygulamaya izin verecek yazılım bileşenlerini ve bağımlılıklarını (tedarik zinciri) değiştirmeyi amaçlayan saldırılara karşı.
Yazılım tedarik zincirinin güvenliğini sağlamak, şu anda sektörümüzün karşı karşıya olduğu en büyük güvenlik sorunlarından biridir. Bu teklif önemli bir sonraki adımdır, ancak bu zorluğu gerçekten çözmek, topluluk genelinde taahhüt ve yatırım gerektirecektir…
Bu değişiklikler, açık kaynak tüketicilerini yazılım tedarik zinciri saldırılarından korumaya yardımcı olur; başka bir deyişle, kötü niyetli kullanıcılar, bir bakıcının hesabını ihlal ederek ve birçok geliştirici tarafından kullanılan açık kaynak bağımlılıklarına kötü amaçlı yazılım ekleyerek kötü amaçlı yazılımları yaymaya çalıştığında.
Örneğin, uygulanan değişiklik, NPM'deki bağımlılıklardan birinin geliştirici hesabının güvenliğinin ihlal edilmesi ve bir saldırganın kötü amaçlı kod içeren bir paket güncellemesi oluşturması durumunda proje kaynaklarını koruyacaktır.
Normal yaklaşımı, eylemleri kaydederken aynı zamanda OpenID Connect (OIDC) kimliklerine dayalı kısa vadeli anahtarlar yayınlayarak imzalama anahtarlarını yönetme ihtiyacını ortadan kaldırmak olduğundan, Sigstore'un yalnızca başka bir kod imzalama aracı olmadığını belirtmekte fayda var. Sigstore'un Fulcio adında kendi sertifika yetkilisine sahip olduğu rekor adı verilen değişmez bir defterde
Yeni koruma seviyesi sayesinde, geliştiriciler, oluşturulan paketi kullanılan kaynak koduyla ilişkilendirebilecek ve yapı ortamı, kullanıcıya paketin içeriğinin ana proje deposundaki kaynakların içeriğine karşılık geldiğini doğrulama fırsatı verir.
Sigstore'un kullanımı anahtar yönetim sürecini büyük ölçüde basitleştirir ve kayıt, iptal ve kriptografik anahtar yönetimi ile ilgili karmaşıklıkları ortadan kaldırır. Sigstore, kodu dijital olarak imzalamak için sertifikalar ve doğrulamayı otomatikleştirmek için araçlar sağlayarak kendisini kod için Let's Encrypt olarak tanıtır.
Bugün, bir paketi kaynak deposuna ve yapı ortamına bağlamaya bakan yeni bir Yorum İsteği (RFC) açıyoruz. Paket sahipleri bu sistemi tercih ettiğinde, paketlerinin tüketicileri, paket içeriğinin bağlantılı veri havuzunun içeriğiyle eşleştiği konusunda daha fazla güvene sahip olabilir.
Kalıcı anahtarlar yerine, Sigstore, izinlere dayalı olarak oluşturulan kısa ömürlü geçici anahtarlar kullanır. İmza için kullanılan materyal, değişikliğe karşı korumalı bir kamu kaydına yansıtılarak, imzanın yazarının tam olarak söyledikleri kişi olduğundan ve imzanın sorumlu olan aynı katılımcı tarafından oluşturulduğundan emin olmanızı sağlar.
Proje, diğer paket yöneticisi ekosistemleriyle erken benimsendi. Bugünün RFC'si ile Sigstore kullanarak npm paketlerinin uçtan uca imzalanması için destek eklemeyi öneriyoruz. Bu süreç, daha sonra doğrulanabilmesi için paketin nerede, ne zaman ve nasıl oluşturulduğuna dair sertifikaların oluşturulmasını içerecektir.
Bütünlüğü sağlamak için ve veri bozulmasına karşı koruma, bir Merkle Ağacı ağaç yapısı kullanılır her dalın, ortak hash (ağaç) aracılığıyla tüm altta yatan dalları ve düğümleri kontrol ettiği. Sondaki bir karmaya sahip olarak, kullanıcı tüm işlem geçmişinin doğruluğunu ve ayrıca geçmiş veritabanı durumlarının doğruluğunu doğrulayabilir (yeni veritabanı durumunun kök kontrol karması, geçmiş durum dikkate alınarak hesaplanır).
Son olarak, Sigstore'un Linux Vakfı, Google, Red Hat, Purdue Üniversitesi ve Chainguard tarafından ortaklaşa geliştirildiğini belirtmekte fayda var.
Bu konuda daha fazla bilgi edinmek isterseniz, ayrıntılara başvurabilirsiniz. aşağıdaki bağlantı.