在Linux基金会,非营利组织通过开源实现创新,已经宣布了一项新服务可让容易采用加密软件签署提高软件供应链的安全性。

名为“ sigstore”的它将使软件开发人员可以安全地对软件工件(例如发行文件,容器映像和二进制文件)进行签名。然后将签名材料存储在防篡改的公共日志中。该项目的创始成员包括Red Hat,Google和Purdue University。

“ sigstore使所有开放源代码社区都能签署其软件,并结合了出处,完整性和可发现性,从而创建了透明且可审核的软件供应链。” CTO红帽办公室安全工程负责人Luke Hinds说:“通过在Linux基金会主持这次合作,我们可以加快在sigstore中的工作,并支持开源软件和开发的不断采用和影响。”

很少有开源项目采用密码对软件发布工件进行签名。这主要是由于软件维护人员在密钥管理,密钥折衷,撤销和分配公共密钥以及工件摘要方面面临的挑战。这意味着用户只能寻找信任的密钥,并学习验证签名所需的步骤。摘要和公共密钥的分发方式还有其他问题,它们通常存储在容易受到黑客攻击的网站上,或者存储在公共git存储库中的README文件中。使用sigstore,可以通过使用短暂的临时密钥和信任根来避免这些问题,这些信任根来自开放且可审核的公共透明日志。

“sigstore的目标是使开源软件的所有版本都可验证,并且使用户能够很容易地实际验证它们。我希望我们可以像退出vim一样让这变得简单,”Google开源安全团队的Dan Lorenc说。“在公开场合看着这一切成形很有趣。看到sigstore有一个稳定的家庭真是太好了。”

您可以在sigstore网站上找到更多信息。

发表评论