Đề xuất sử dụng Sigstore để xác minh gói trong NPM

Tin tức đã được phát hành rằng trên GitHub, một đề xuất đã được đưa ra thảo luận để thực hiện dịch vụ Sigstore để xác minh gói với chữ ký điện tử và duy trì hồ sơ công khai để xác nhận tính xác thực khi phân phối các bản phát hành.

Về đề xuất có đề cập rằng việc sử dụng Sigstore sẽ cho phép triển khai một cấp độ bảo vệ bổ sung chống lại các cuộc tấn công nhằm thay thế các thành phần phần mềm và phụ thuộc (chuỗi cung ứng).

Bảo mật chuỗi cung ứng phần mềm là một trong những thách thức bảo mật lớn nhất mà ngành của chúng ta phải đối mặt ngay bây giờ. Đề xuất này là một bước quan trọng tiếp theo, nhưng thực sự giải quyết được thách thức này sẽ đòi hỏi sự cam kết và đầu tư từ toàn cộng đồng…

Những thay đổi này giúp bảo vệ người tiêu dùng nguồn mở khỏi các cuộc tấn công chuỗi cung ứng phần mềm; nói cách khác, khi người dùng độc hại cố gắng phát tán phần mềm độc hại bằng cách xâm phạm tài khoản của người bảo trì và thêm phần mềm độc hại vào các phần phụ thuộc nguồn mở được nhiều nhà phát triển sử dụng.

Ví dụ: thay đổi được triển khai sẽ bảo vệ các nguồn dự án trong trường hợp tài khoản nhà phát triển của một trong các phần phụ thuộc NPM bị xâm phạm và kẻ tấn công tạo bản cập nhật gói có mã độc hại.

Điều đáng nói là Sigstore không chỉ là một công cụ ký mã khác, vì cách tiếp cận thông thường của nó là loại bỏ sự cần thiết phải quản lý các khóa ký bằng cách phát hành các khóa ngắn hạn dựa trên danh tính OpenID Connect (OIDC), đồng thời ghi lại các hành động. trong một sổ cái không thay đổi được gọi là rekor, ngoài ra Sigstore còn có cơ quan cấp chứng chỉ riêng có tên là Fulcio

Nhờ cấp độ bảo vệ mới, các nhà phát triển sẽ có thể liên kết gói đã tạo với mã nguồn được sử dụng và môi trường xây dựng, cho người dùng cơ hội xác minh rằng nội dung của gói tương ứng với nội dung của các nguồn trong kho dự án chính.

Việc sử dụng Sigstore đơn giản hóa đáng kể quy trình quản lý khóa và loại bỏ những phức tạp liên quan đến đăng ký, thu hồi và quản lý khóa mật mã. Sigstore tự quảng cáo là Let's Encrypt for code, cung cấp các chứng chỉ cho mã ký điện tử và các công cụ để tự động xác minh.

Hôm nay, chúng tôi sẽ mở một Yêu cầu nhận xét (RFC) mới, xem xét việc ràng buộc một gói với kho lưu trữ nguồn và môi trường xây dựng của nó. Khi người bảo trì gói chọn cho hệ thống này, người tiêu dùng gói của họ có thể tin tưởng hơn rằng nội dung của gói phù hợp với nội dung của kho lưu trữ được liên kết.

Thay vì các khóa vĩnh viễn, Sigstore sử dụng các khóa tạm thời tồn tại trong thời gian ngắn được tạo dựa trên quyền. Tài liệu được sử dụng cho chữ ký được phản ánh trong một hồ sơ công khai được bảo vệ bằng sửa đổi, cho phép bạn đảm bảo rằng tác giả của chữ ký chính xác là người mà họ nói và chữ ký được tạo bởi cùng một người tham gia chịu trách nhiệm.

Dự án đã sớm được áp dụng với các hệ sinh thái trình quản lý gói khác. Với RFC ngày nay, chúng tôi đề xuất bổ sung hỗ trợ ký các gói npm từ đầu đến cuối bằng Sigstore. Quá trình này sẽ bao gồm việc tạo ra các chứng nhận về vị trí, thời gian và cách gói được tạo để có thể xác minh sau.

Để đảm bảo tính toàn vẹn và bảo vệ chống lại sự hỏng dữ liệu, một cấu trúc cây Merkle Tree được sử dụng trong đó mỗi nhánh kiểm tra tất cả các nhánh và nút bên dưới thông qua băm chung (cây). Bằng cách có một băm theo sau, người dùng có thể xác minh tính đúng đắn của toàn bộ lịch sử hoạt động, cũng như tính đúng đắn của các trạng thái cơ sở dữ liệu trong quá khứ (băm kiểm tra gốc của trạng thái cơ sở dữ liệu mới được tính toán theo trạng thái trong quá khứ).

Cuối cùng, điều đáng nói là Sigstore được phát triển bởi Linux Foundation, Google, Red Hat, Đại học Purdue và Chainguard.

Nếu muốn biết thêm về nó, bạn có thể tham khảo thông tin chi tiết tại liên kết sau.


Hãy là người đầu tiên nhận xét

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.