为了保护自由软件供应链, Linux基金会 (通过开源促进创新的非营利组织) 已与Red Hat,Google和Purdue University合作推出 一个新项目,可帮助开发人员轻松地在软件中采用加密签名。
此 新项目 记录透明性技术的支持,随着开源软件,项目, Sigstore旨在防止对公共软件存储库的攻击将损坏的代码注入供应链。
登录 将允许软件开发人员安全地签名 软件工件,例如版本文件,容器映像和二进制文件。 提到已签名的项目存储在防篡改的公共日志中。
SigStore旨在使开发人员能够理解和确认基于常常是不同的方法和数据格式集的软件的来源和真实性。 现有解决方案通常基于存储在不安全系统上的“摘要”(散列或散列函数的结果),该摘要可能被破坏并导致针对用户的各种攻击(例如散列交换或散列函数)。
服务的使用 对所有软件开发人员和供应商免费,SigStore社区将为sigstore开发代码和操作工具。 红帽,谷歌和普渡大学都是该项目的创始成员。
红帽CTO办公室首席安全官Luke Hinds说:“ Sigstore使所有开放源代码社区都能签署其软件,并结合其出处,完整性和可发现性,以创建透明且可验证的软件供应链。 “通过在Linux基金会主持这次合作,我们可以加快我们在sigstore上的工作,并支持开源软件和开发的持续采用和影响。”
“确保软件实施安全应首先确保我们正在运行我们认为拥有的软件。 sigstore代表了一个绝佳的机会,可以为开源软件供应链带来更多的信任和透明度,” Josh Aas说,
争论现代软件供应链面临多种风险, 该项目说现有工具,涉及到人们亲自见面以签署密钥,并且运作了很长时间了, 在当今地理分布分散的环境中无法再实现.
另外,提到 很少有开放源代码项目可以对软件版本工件进行加密签名。 这在很大程度上是由于软件维护人员在密钥管理,密钥折衷,撤销和分配公共密钥以及散列工件方面面临的挑战。 这意味着用户必须找出值得信任的密钥,并学习验证签名所需的步骤。
“ Sigstore旨在使所有版本的开源软件都可验证,并促进用户验证。 希望我们能够像退出vim一样容易。” Google开源软件安全团队的软件工程师Dan Lorenc说。
另一个问题是散列和公钥的分布方式:它们通常存储在可能被黑客入侵的网站上,或者存储在公共git存储库中的README文件中。
SigStore试图通过使用短暂的临时密钥来解决这些问题,这些临时密钥的信任根源来自开放且可验证的公共透明性注册表。 这项新服务将以最小的开销帮助开发人员和用户了解并确认软件的来源和真实性。
“我对像sigstore这样的系统感到非常兴奋。 软件生态系统迫切需要这样的系统来报告供应链的状况。 我认为,使用sigstore可以回答有关软件来源和所有权的所有问题,我们可以开始询问有关软件目标,使用者,合规性(法律及其他方面)的问题,以识别犯罪网络并保护关键的软件基础设施。”