致力推动开源创新的 Linux 基金会,刚刚宣布了一项旨在通过便捷的加密软件签名、提升软件供应链安全性的新服务。BetaNews 报道称,名为“sigstore”的这项辅助,使得软件开发者能够轻松地对各种软件工件进行签名,比如发行文件、容器映像、以及二进制文件。
(传送门:Sigstore.dev)
通过将签名材料存储在防篡改的公共日志中,Linux 基金会希望 sigstore 签名服务能够在开源软件开发领域普及开来。当前的项目创始成员,包括了红帽、谷歌、以及普渡大学。
红帽首席技术官办公室的安全工程负责人 Luke Hinds 表示:
sigstore 旨在全面覆盖凯源代码社区,允许开发者轻松地为软件提供签名。结合出处、完整性和可发现性,此举有助于营造透明且可审核的软件供应链。
在 Linux 基金会的主持合作下,我们可以加快 sigstore 的相关工作,以促进开源软件的开发、采用和行业影响力。
此前很少有开源项目使用加密签名手段,主要原因是软件维护人员在密钥管理、撤销和公钥分配等工作方面遇到了一定的挑战。
基于此,许多用户只能努力寻找受信任的密钥,并自行学习验证签名所需的步骤,更别提公钥的分发方式还存在着其它问题。
这些公钥通常存储在易受黑客攻击的网站上,甚至放置在公共 git 存储库的自述(README)文件中。
但随着 sigstore 公共服务的推出,我们可以使用临时密钥和信任根来规避上述问题(后者源于开放且可审核的公共透明日志)。
最后,谷歌开源安全团队的 Dan Lorenc 表示:sigstore 旨在让所有版本的开源软件都能够经过验证,且允许客户轻松对其展开实际验证,希望未来这一过程能能够变得更加容易。