Про це оприлюднили новину на GitHub було винесено пропозицію для обговорення сервіс Sigstore для перевірки пакетів з цифровими підписами та підтримувати публічний запис для підтвердження автентичності під час розповсюдження випусків.
Про пропозицію згадується використання Sigstore дозволить реалізувати додатковий рівень захисту проти атак, спрямованих на заміну програмних компонентів і залежностей (ланцюг поставок).
Захист ланцюга постачання програмного забезпечення є однією з найбільших проблем безпеки, з якими зараз стикається наша галузь. Ця пропозиція є важливим наступним кроком, але справжнє вирішення цієї проблеми вимагатиме відданості та інвестицій з боку всієї спільноти…
Ці зміни допомагають захистити споживачів з відкритим кодом від атак на ланцюг поставок програмного забезпечення; іншими словами, коли зловмисники намагаються поширити зловмисне програмне забезпечення, зламавши обліковий запис супроводжуючого та додавши зловмисне програмне забезпечення до залежностей з відкритим кодом, які використовують багато розробників.
Наприклад, реалізована зміна захистить джерела проекту у випадку, якщо обліковий запис розробника однієї із залежностей у NPM буде зламано та зловмисник створить оновлення пакета зі шкідливим кодом.
Варто зазначити, що Sigstore — це не просто ще один інструмент для підписання коду, оскільки його звичайний підхід полягає в тому, щоб усунути необхідність керування ключами підпису шляхом видачі короткострокових ключів на основі ідентифікаторів OpenID Connect (OIDC), в той же час записуючи дії у незмінній книзі під назвою rekor, на додаток до якої Sigstore має власний центр сертифікації під назвою Fulcio
Завдяки новому рівню захисту, розробники зможуть зв'язати згенерований пакет із використаним вихідним кодом і середовище збірки, надаючи користувачеві можливість перевірити, чи вміст пакета відповідає вмісту вихідних кодів у основному сховищі проекту.
Використання Sigstore значно спрощує процес керування ключами і усуває складнощі, пов'язані з реєстрацією, відкликанням і керуванням криптографічним ключем. Sigstore рекламує себе як Let's Encrypt for code, надаючи сертифікати для коду цифрового підпису та інструменти для автоматизації перевірки.
Сьогодні ми відкриваємо новий запит на коментарі (RFC), який розглядає зв’язування пакета з його вихідним репозиторієм і середовищем збірки. Коли супроводжувачі пакетів вибирають цю систему, споживачі їхніх пакунків можуть мати більше впевненості, що вміст пакета відповідає вмісту пов’язаного репозиторію.
Замість постійних ключів, Sigstore використовує короткочасні ефемерні ключі, які генеруються на основі дозволів. Матеріал, який використовується для підпису, відображається в загальнодоступному записі, захищеному від модифікації, що дає змогу переконатися, що автор підпису – це саме той, за кого вони себе видають, і підпис створено тим самим учасником, який був відповідальним.
Проект отримав раннє впровадження в інших екосистемах менеджера пакетів. У сьогоднішньому RFC ми пропонуємо додати підтримку наскрізного підпису пакетів npm за допомогою Sigstore. Цей процес включатиме створення сертифікатів про те, де, коли та як було створено пакет, щоб його можна було перевірити пізніше.
Для забезпечення цілісності і захист від пошкодження даних, використовується деревоподібна структура Merkle Tree у якому кожна гілка перевіряє всі базові гілки та вузли за допомогою спільного хешу (дерева). Маючи кінцевий хеш, користувач може перевірити правильність усієї історії операцій, а також правильність минулих станів бази даних (кореневий контрольний хеш нового стану бази даних обчислюється з урахуванням минулого стану).
Нарешті, варто згадати, що Sigstore спільно розроблено Linux Foundation, Google, Red Hat, Університетом Пердью та Chainguard.
Якщо ви хочете дізнатися більше про це, ви можете переглянути подробиці в за наступним посиланням.