Linux 基金会正在推出其新的 签名商店 项目为软件供应链的各个方面提供更好的安全和保护。 新项目将使开发人员能够签署其开发过程的特定方面,确保文件和其他资产具有强大的、防篡改的加密功能。
sigstore 保护软件来源
Linux 基金会的 签名商店 是一项免费使用、非盈利的公益软件签名服务,将利用现有的关键技术更好地保护软件开发供应链。
它还将使用透明的日志记录技术,更容易追踪软件供应链的“出处、完整性和可发现性”,让项目所有者和贡献者更容易信任和监控变化。
简而言之,sigstore 可以为软件开发人员提供更易于使用且免费的选项来保护与项目相关的重要文件。 开发人员可以使用 sigstore 对发布文件、二进制文件、清单、文档、日志等进行签名。
签名后,详细信息将添加到称为“防篡改公共日志”的 雷克,Linux基金会也开发了。
用户容易受到各种有针对性的攻击,以及帐户和加密密钥的泄露。 尤其是密钥是软件维护人员管理的挑战。 项目通常必须维护当前使用的密钥列表,并管理不再为项目做出贡献的个人的密钥。
普渡大学电气与计算机工程助理教授 Santiago Torres-Arias “对像 sigstore 这样的系统的前景感到非常兴奋”。
软件生态系统迫切需要类似的东西来报告供应链的状态。 我设想,通过 sigstore 回答有关软件来源和所有权的所有问题,我们可以开始询问有关软件目的地、消费者、合规性(法律和其他方面)的问题,以识别犯罪网络并保护关键软件基础设施。
保护弱势软件开发人员
Linux 基金会的 sigstore 项目正在让软件开发人员关注一个易受攻击的领域。 目前,很少有项目主动签署软件工件。 这很耗时,需要额外的管理,而且时间通常最好花在其他地方,而不是处理复杂的密钥管理机制。
目前,许多开发人员选择了最简单的选项,将关键加密密钥隐藏在自述文件或其他易受攻击的地方。 使用可能容易访问但缺乏保护的文件是灾难的根源,正如多年来各种 GitHub 和 Bitbucket 违规行为所见。
那么,sigstore 至少应该让管理软件项目的加密密钥变得更容易一些,让开发人员腾出时间继续他们真正喜欢的工作。
