Linux Foundation запускает sigstore, новую службу подписи программного обеспечения
Linux Foundation запускает свой новый проект sigstore, чтобы обеспечить лучшую безопасность и защиту для всех аспектов цепочки поставок программного обеспечения. Новый проект позволит разработчикам подписывать определенные аспекты процесса разработки, гарантируя, что файлы и другие активы несут надежное и защищенное от несанкционированного доступа шифрование.
sigstore для защиты происхождения программного обеспечения
Sigstore Linux Foundation – это бесплатная некоммерческая служба подписи программного обеспечения для общественных благ, которая будет использовать существующие ключевые технологии для лучшей защиты цепочек поставок разработки программного обеспечения.
Он также будет использовать прозрачные технологии ведения журналов, чтобы упростить отслеживание «происхождения, целостности и обнаруживаемости» цепочки поставок программного обеспечения, что упростит как владельцам проектов, так и участникам проекта доверять и отслеживать изменения.
Короче говоря, sigstore может предоставить разработчикам программного обеспечения более простой и бесплатный вариант защиты важных файлов, связанных с проектом. Разработчики могут использовать sigstore для подписи файлов выпуска, двоичных файлов, манифестов, документов, журналов и т. Д.
После подписания данные добавляются в «защищенный от несанкционированного доступа общедоступный журнал», известный как rekor , который также был разработан Linux Foundation.
Пользователи подвержены различным целевым атакам, а также компрометации учетной записи и криптографического ключа. Ключи, в частности, представляют собой сложную задачу для специалистов по сопровождению программного обеспечения. Проекты часто должны поддерживать список текущих используемых ключей и управлять ключами лиц, которые больше не участвуют в проекте.
Сантьяго Торрес-Ариас, доцент кафедры электротехники и вычислительной техники Университета Пердью, «очень взволнован перспективами такой системы, как sigstore».
Программная экосистема остро нуждается в чем-то подобном, чтобы сообщать о состоянии цепочки поставок. Я предполагаю, что, когда магазин sigstore ответит на все вопросы об источниках программного обеспечения и праве собственности, мы сможем начать задавать вопросы, касающиеся адресатов программного обеспечения, потребителей, соблюдения требований (юридических и иных), для выявления преступных сетей и защиты критически важной инфраструктуры программного обеспечения
Защита уязвимых разработчиков программного обеспечения
Проект sigstore Linux Foundation привлекает внимание к уязвимой области для разработчиков программного обеспечения. В настоящее время очень немногие проекты активно подписывают программные артефакты. Это отнимает много времени, требует дополнительного управления, и его часто лучше потратить в другом месте – на это, а не на сложные механизмы управления ключами.
В настоящее время многие разработчики выбирают самый простой вариант, скрывая важные ключи шифрования в файлах readme или других уязвимых местах. Использование потенциально легкодоступных файлов, которые не имеют защиты, – это рецепт катастрофы, о чем свидетельствуют различные взломы GitHub и Bitbucket за последние годы.
Таким образом, sigstore должен хотя бы немного упростить управление ключами шифрования для программных проектов, освобождая разработчиков для продолжения той работы, которая им действительно нравится.