Özgür yazılım tedarik zincirini güvence altına alma çabasıyla, Linux Vakfı (açık kaynak yoluyla yeniliği teşvik eden kar amacı gütmeyen kuruluş) lansman için Red Hat, Google ve Purdue Üniversitesi ile ortaklık kurdu geliştiricilerin yazılımda kriptografik imzayı kolayca benimsemelerine yardımcı olacak yeni bir proje.
bu Yeni proje açık kaynaklı yazılımın endüstriyel olarak artan benimsenme oranı olan proje, rekor şeffaflık teknolojileriyle desteklenmektedir. Sigstore, halka açık bir yazılım havuzuna yapılan bir saldırının tedarik zincirine bozuk kod enjekte etmesini önlemeyi amaçlamaktadır.
mağaza yazılım geliştiricilerin güvenli bir şekilde imzalamasına izin verecek sürüm dosyaları, kapsayıcı görüntüleri ve ikili dosyalar gibi yazılım yapıları. İmzalı öğelerin kurcalamaya dayanıklı bir kamu dergisinde saklandığından bahsedilir.
SigStore, geliştiricilerin genellikle farklı yaklaşımlar ve veri formatlarına dayanan yazılımın kökenini ve orijinalliğini anlamasını ve onaylamasını sağlamayı amaçlamaktadır. Mevcut çözümler genellikle güvensiz sistemlerde saklanan "özetlere" (hash veya hash fonksiyonunun sonuçları) dayanır ve bunlar bozulabilir ve hash exchange veya hash function, kullanıcılara yönelik saldırılar gibi çeşitli saldırılara yol açabilir.
Hizmetin kullanımı tüm yazılım geliştiricileri ve satıcıları için ücretsiz olacakve SigStore topluluğu sigstore için kod ve operasyonel araçlar geliştirecek. Red Hat, Google ve Purdue Üniversitesi projenin kurucu üyeleri arasında yer alıyor.
Red Hat CTO ofisi güvenlik şefi Luke Hinds, "Sigstore, tüm açık kaynak topluluklarının yazılımlarını imzalamasını sağlıyor ve şeffaf ve doğrulanabilir bir yazılım tedarik zinciri oluşturmak için kaynak, bütünlük ve keşfedilebilirliği birleştiriyor," dedi. "Bu işbirliğine Linux Vakfı'nda ev sahipliği yaparak, sigstore üzerindeki çalışmalarımızı hızlandırabilir ve açık kaynaklı yazılım ve geliştirmenin sürekli benimsenmesini ve etkisini destekleyebiliriz."
“Bir yazılım uygulamasının güvenliğini sağlamak, sahip olduğumuzu düşündüğümüz yazılımı çalıştırdığımızdan emin olmakla başlamalıdır. sigstore, açık kaynak yazılım tedarik zincirine daha fazla güven ve şeffaflık getirmek için harika bir fırsatı temsil ediyor ”dedi Josh Aas,
Modern yazılım tedarik zincirinin birden fazla riske maruz kaldığını iddia ederek, proje, mevcut araçların, anahtarları imzalamak için yüz yüze buluşan ve uzun süredir iyi çalışan insanları içeren, coğrafi olarak dağınık alanlarla günümüz ortamında artık elde edilemez.
Ayrıca bundan bahsedilmektedir Yazılım sürümü yapılarını kriptografik olarak imzalayan çok az sayıda açık kaynak projesi vardır. Bu, büyük ölçüde yazılım geliştiricilerinin anahtar yönetimi, anahtar tavizler, genel anahtarların ve karma yapıların iptali ve dağıtımında karşılaştığı zorluklardan kaynaklanmaktadır. Bu, kullanıcıların hangi anahtarlara güveneceklerini bulmaları ve imzayı doğrulamak için gerekli adımları öğrenmeleri gerektiği anlamına gelir.
"Sigstore, açık kaynaklı yazılımın tüm sürümlerini doğrulanabilir hale getirmeyi ve kullanıcılar tarafından doğrulamayı kolaylaştırmayı hedefliyor. Google'ın açık kaynak yazılım güvenlik ekibinde yazılım mühendisi olan Dan Lorenc, umarım bunu vim'den çıkmak kadar kolaylaştırabiliriz ”dedi.
Diğer bir sorun, karmalar ve genel anahtarların nasıl dağıtıldığıdır: bunlar genellikle saldırıya uğramış web sitelerinde veya genel bir git deposunda bulunan bir README dosyasında saklanır.
SigStore, açık ve doğrulanabilir bir genel şeffaflık kayıt defterinden alınan bir güven kökü ile kısa ömürlü geçici anahtarlar kullanarak bu sorunları çözmeye çalışır. Yeni hizmet, geliştiricilerin ve kullanıcıların yazılımın kaynağını ve orijinalliğini minimum ek yük ile anlamasına ve onaylamasına yardımcı olacaktır.
"Sigstore gibi bir sistem beni çok heyecanlandırıyor. Yazılım ekosistemi, tedarik zincirinin durumunu rapor etmek için acilen böyle bir sisteme ihtiyaç duyar. Yazılım kaynakları ve mülkiyeti hakkındaki tüm soruları yanıtlayan sigstore ile suç ağlarını belirlemek ve kritik yazılım altyapılarını güvence altına almak için yazılım hedefleri, tüketiciler, uyumluluk (yasal ve diğer) hakkında sorular sormaya başlayabileceğimizi düşünüyorum. ”Dedi Santiago Torres-Arias.