Sigstore旨在通过简化加密软件签名的过程来改进开源软件供应链。 Linux基金会今天宣布推出SigStore,这是一个新的非营利组织,旨在通过使开发人员更容易采用软件开发过程的不同组件来采用加密签名来改善开源软件供应链安全性的新的非营利组织。
SIGSTORE将免费为软件提供商和开发人员免费,他们可以使用它来安全地签署软件伪像,例如释放文件,容器图像,二进制文件和材料清单表现形式。然后将签名材料存储在防篡改的公共日志中。服务和#39; S代码和操作工具将是完全开放的源,由SigStore社区维护和开发。
创始成员包括Red Hat,Google和Purdue University。该服务的想法来自Luke Hinds,安全工程领先于Red Hat' CTO办公室。他向谷歌软件工程师丹洛伦投放了概念,两人开始工作。现在sigstore项目有一个"小但敏捷社区" Lorenc说,致力于发展发展。
软件供应链面临安全风险。用户接触到有针对性的攻击,以及帐户和加密密钥妥协。软件维护者难以管理钥匙。软件项目通常有一个使用中的密钥列表,并且维护者必须处理不再参与的人的钥匙。这些公钥通常存储在Git Repo Readme文件或网站上,在那里它们可能易于篡改和Don' t安全地传达信任。
软件签名意味着传达信任。数字签名软件的过程旨在提供证据,即代码来自已知的开发人员或软件供应商,并被篡改。这使用户可以自信地使用来自可信源的代码。
但很少有开源项目加密签署软件工件。 "我们几乎花了几个月的九个月左右的距离源人们和社区以及它们如何与他们的'重新做到这一点,如果他们'重复没有这样的[那么]为什么不这样做,而且用户的透视:如果人们签约,你会关心吗?你怎么知道检查什么键?" Lorenc说。
他们的团队发现了"空间缺乏巨额,"他继续。大多数软件项目aren' t做任何事情,以改善安全的软件签名。该工具在过去使用的工具中使用了许多要求签署另一个' s键,它没有为遥控开发人员工作,后面增加。 SIGSTORE旨在缓解采用,并降低软件签名的风险。
"当您签署时,您也承担了很多风险,因为......您必须保护私钥,这确实暴露了项目的风险,而#34;后脑继续。 "它'那种鸡肉和鸡蛋:需要签署东西,为他们的用户提供保证,但一旦他们开始签署了东西,他们将围绕他们的攻击表面和可能的关键妥协。 "
如何使过程简单,SigStore依赖于OpenID身份验证协议,以将证书连接到标识。这允许开发人员使用它们已经拥有的安全控制,例如多因素身份验证,一次性密码和硬件令牌生成器。
现有的签名解决方案基本上是建立一个全新的身份系统的工作,并为用户提供他们&#39的私钥;重申负责保护,Lorenc解释道。 SIGSTORE"捎带来自每个人都知道如何与已经联盟的合作方式,并且已经在组织上获得了安全专业人士的所有关注。"
SIGSTORE用户使用其工具来创建短暂的短寿键对。它的公钥基础架构(PKI)服务在成功的OpenID Connect Grant之后提供签名证书。从那里,证书被记录到证书透明度日志中,软件签名材料转到签名透明度日志,SigStore在其网站上解释。
这些透明度日志是登录事件的公共和防篡改记录,后面笔记。 "通过可用,任何人都可以审核或监控谁的日志' s签名。它使它公开透明,"他补充道。任何人都可以使用由特定公钥或电子邮件地址签名的伪影摘要或返回条目执行查询。
由于钥匙是短暂的,但对钥匙潜在留下并容易受到妥协的钥匙,没有担心。之后,在日志中记录了开发人员,在日志中录制了开发人员并留下了所有活动。
当今标志着基础的推出,后来说。虽然透明度日志是完全练习的,但SigStore ISN' T'尚未使用开发人员。至于开发人员将能够签署和存储的开发人员,该团队首先针对泛型释放工件,例如编译的二进制文件和容器图像。后来,他们计划探索其他格式和清单签名。
该团队希望Sigstore将于今年晚些时候提供,但尚未确定官方日期。 Kelly Sheridan是黑暗阅读的工作人员编辑,在那里她侧重于网络安全新闻和分析。 她是一家以前报道的商业技术记者,以为信息周围的信息,在那里她涵盖了微软,保险和amp; 技术,她涵盖金融的地方......查看完整生物