谷歌和红帽联合Linux基金会开发Sigstore代码签名 为开源软件提供安全验证
开源软件让我们的世界变得更加美好,然而开源代码固有弱点是难以确定其来源以及构建方式,这意味着开源软件相对来说很容易受到供应链攻击。
例如此前业界就发生过多次攻击者将恶意代码添加到开源项目中,导致开源项目的后续构建均存在安全威胁,攻击者通过这种方式发起供应链攻击并造成严重威胁。
为解决这个问题日前谷歌和红帽联合Linux基金会推出名为Sigstore的签名算法,这样可以让开源软件的数字签名和验证源代码更加容易。
谷歌将该项目描述为“让我们进行代码签名和加密吧”,这个描述是模仿谋智基金会和ISIG主导的HTTPS加密项目Let's encrypt(让我们加密吧)。让我们加密吧这个项目旨在提供自动化和免费的HTTPS证书提高整个互联网的安全,而Sigstore项目则是确保开源软件的代码安全。
谷歌表示所有sigstore认证和证明都将存储在Trillian支持的透明日志中,这与HTTPS证书行业采用的透明日志相同做法相同,任何人都可以同透明日志中查看和审查。谷歌称该公司知道长期密钥管理和密钥分发背后的挑战,因此谷歌将基于OpenID Connect授权和根证书颁发机构(CA)来签发短期证书以明确表示代码签名的目的。
红帽安全工程主管表示对该项目提高软件供应链安全的意义感到非常兴奋,sigstore是个开源社区团结在一起,以协作和开发解决方案简化软件签名的很好例子。
sigstore项目具有功能齐全的透明日志,但webPKI和客户端签名工具仍然还在原型开发阶段,因此还不能作为一般性用途。该工具是开源的,可以供所有开发者免费使用,开发团队认为不涉及隐私问题因此sigstore不需要开发者提供个人信息,只有使用OpenID Connect补助金时才会要求开发者提供个人邮件地址。
sigstore未来还计划引入对其他OpenID Connect软件的支持,同时提供支持文档、完成其余签名基础架构并强化通用性等。有兴趣的开发者可以在其网站查看:https://sigstore.dev/what_is_sigstore/