Trong nỗ lực đảm bảo chuỗi cung ứng phần mềm miễn phí, Nền tảng Linux (tổ chức phi lợi nhuận thúc đẩy sự đổi mới thông qua mã nguồn mở) đã hợp tác với Red Hat, Google và Đại học Purdue để ra mắt một dự án mới để giúp các nhà phát triển dễ dàng áp dụng chữ ký mật mã trong phần mềm.
điều này dự án mới được hỗ trợ bởi các công nghệ minh bạch kỷ lục, vì tỷ lệ chấp nhận phần mềm nguồn mở ngày càng tăng trong công nghiệp, dự án, Sigstore, nhằm mục đích ngăn chặn một cuộc tấn công vào kho phần mềm công cộng từ việc đưa mã bị hỏng vào chuỗi cung ứng.
cửa hàng bán lẻ sẽ cho phép các nhà phát triển phần mềm ký một cách an toàn tạo tác phần mềm như tệp phiên bản, hình ảnh vùng chứa và tệp nhị phân. Nó được đề cập rằng các mục đã ký được lưu trữ trong một tạp chí công cộng chống giả mạo.
SigStore tìm cách cho phép các nhà phát triển hiểu và xác nhận nguồn gốc và tính xác thực của phần mềm dựa trên một tập hợp các phương pháp tiếp cận và định dạng dữ liệu thường khác nhau. Các giải pháp hiện tại thường dựa trên "tóm tắt" (băm hoặc kết quả của một hàm băm) được lưu trữ trên các hệ thống không an toàn, có thể bị hỏng và dẫn đến các cuộc tấn công khác nhau, chẳng hạn như trao đổi băm hoặc hàm băm, các cuộc tấn công nhắm vào người dùng.
Việc sử dụng dịch vụ sẽ miễn phí cho tất cả các nhà phát triển và nhà cung cấp phần mềm, và cộng đồng SigStore sẽ phát triển mã và các công cụ hoạt động cho sigstore. Red Hat, Google và Đại học Purdue là một trong những thành viên sáng lập của dự án.
Luke Hinds, giám đốc an ninh của văn phòng Red Hat CTO cho biết: “Sigstore cho phép tất cả các cộng đồng mã nguồn mở ký vào phần mềm của họ và kết hợp xuất xứ, tính toàn vẹn và khả năng phát hiện để tạo ra một chuỗi cung ứng phần mềm minh bạch và có thể kiểm chứng. "Bằng cách tổ chức sự hợp tác này tại Linux Foundation, chúng tôi có thể đẩy nhanh công việc của mình trên sigstore và hỗ trợ việc tiếp tục áp dụng và tác động của phần mềm nguồn mở và phát triển."
“Việc đảm bảo triển khai phần mềm nên bắt đầu bằng việc đảm bảo rằng chúng tôi đang chạy phần mềm mà chúng tôi nghĩ rằng chúng tôi có. Sigstore đại diện cho một cơ hội tuyệt vời để mang lại sự tin tưởng và minh bạch hơn cho chuỗi cung ứng phần mềm nguồn mở, ”Josh Aas nói,
Lập luận rằng chuỗi cung ứng phần mềm hiện đại có nhiều rủi ro, dự án nói rằng các công cụ hiện có, liên quan đến việc mọi người gặp trực tiếp để ký chìa khóa và hoạt động tốt trong thời gian dài, không còn có thể đạt được trong môi trường ngày nay với các khu vực địa lý phân tán.
Ngoài ra, nó được đề cập rằng có rất ít dự án mã nguồn mở ký mã tạo tác phiên bản phần mềm bằng mật mã. Điều này phần lớn là do những thách thức mà người bảo trì phần mềm phải đối mặt trong quản lý khóa, thỏa hiệp khóa, thu hồi và phân phối khóa công khai và tạo tác băm. Điều này có nghĩa là người dùng phải tìm ra khóa nào để tin cậy và tìm hiểu các bước cần thiết để xác thực chữ ký.
“Sigstore nhằm mục đích làm cho tất cả các phiên bản của phần mềm nguồn mở có thể kiểm chứng được và tạo điều kiện thuận lợi cho người dùng xác minh. Hy vọng rằng chúng tôi có thể thực hiện điều này dễ dàng như thoát khỏi vim ”, Dan Lorenc, kỹ sư phần mềm thuộc nhóm bảo mật phần mềm nguồn mở của Google cho biết.
Một vấn đề khác là cách phân phối mã băm và khóa công khai: chúng thường được lưu trữ trên các trang web có khả năng bị tấn công hoặc trong tệp README nằm trong kho lưu trữ git công cộng.
SigStore tìm cách giải quyết những vấn đề này bằng cách sử dụng các khóa tạm thời tồn tại trong thời gian ngắn với nguồn gốc tin cậy được rút ra từ một cơ quan đăng ký minh bạch công khai mở và có thể kiểm chứng. Dịch vụ mới sẽ giúp các nhà phát triển và người dùng hiểu và xác nhận nguồn gốc và tính xác thực của phần mềm, với chi phí tối thiểu.
“Tôi rất hào hứng với một hệ thống như sigstore. Hệ sinh thái phần mềm khẩn cấp cần một hệ thống như vậy để báo cáo về tình trạng của chuỗi cung ứng. Tôi nghĩ rằng với sigstore, nơi trả lời tất cả các câu hỏi về nguồn phần mềm và quyền sở hữu, chúng tôi có thể bắt đầu đặt câu hỏi về điểm đến phần mềm, người tiêu dùng, sự tuân thủ (pháp lý và cách khác), để xác định các mạng tội phạm và bảo mật cơ sở hạ tầng phần mềm quan trọng. ”, Santiago Torres-Arias cho biết.