致力于推进开源创新的Linux基金会,刚刚发表了以便利加密软件签名、提高软件供应链安全性为目标的新服务。BetaNews报道称为sigstore的辅助,软件开发者可以简单地签署文件、容器图像、二进制文件等软件工件。
(输送门:Sigstore.dev
通过将签名材料存储在防篡改的公共日志中,Linux基金希望sigstore签名服务在开源软件开发领域普及。目前的项目创始人包括红帽子、谷歌和普渡大学。
红帽首席技术人员办公室安全工程负责人LukeHinds表示:
sigstore的目的是全面复盖凯源代码社区,开发人员可以轻松地为软件提供签名。结合来源、完整性和可发现性,有助于创造透明可审查的软件供应链。
在 Linux 基金会的主持合作下,我们可以加快 sigstore 的相关工作,以促进开源软件的开发、采用和行业影响力。
此前很少有开源项目使用加密签名手段,主要原因是软件维护人员在密钥管理、撤销和公钥分配等工作方面遇到了一定的挑战。
在此基础上,很多用户只能努力寻找可靠的钥匙,自己学习签名所需的步骤,更不用说钥匙的分发方其他问题了。
这些公钥通常存储在容易受到黑客攻击的网站上,也存储在公共git存储库的自述(README)文件中。
但随着sigstore公共服务的推出,我们可以使用临时钥匙和信赖根来回避上述问题(后者来自开放可审查的公共透明日志)。
最后,优艾设计网_Photoshop百科谷歌开源安全队的DanLorenc表示,sigstore目的是验证所有版本的开源软件,让客户轻松实际验证,希望未来的过程更加简单。
精彩评论