为了简化签名体验,Linux 基金会(Linux Foundation)推出了 sigstore,它是非营利、公益软件签名和透明服务,以下将为你介绍。首先,我们来看 RedHat 首席技术官办公室的安全工程负责人 Luke Hinds 的讲解:sigstore 旨在全面覆盖凯源代码社区,允许开发者轻松地为软件提供签名。结合出处、完整性和可发现性,此举有助于营造透明且可审核的软件供应链。同时在 Linux 基金会的主持合作下,我们可以加快 sigstore 的相关工作,以促进开源软件的开发、采用和行业影响力。
前言 sigstore 将免费提供给所有开发人员和软件提供商,并且 sigstore 的代码和操作工具都是 100% 开源的,并由 sigstore 社区维护/开发。
详细新闻 致力推动开源创新的 Linux 基金会(参考:Linux基金会超越Linux,它工作是创造创新引擎并使齿轮旋转得更快),已经正式宣布了一项旨在通过便捷的加密软件签名、提升软件供应链安全性的新服务。BetaNews 报道称,名为“sigstore”的这项辅助,使得软件开发者能够轻松地对各种软件工件进行签名,比如发行文件、容器映像、以及二进制文件。 通过将签名材料存储在防篡改的公共日志中,Linux 基金会希望 sigstore 签名服务能够在开源软件开发领域普及开来。当前的项目创始成员,包括了红帽、谷歌、以及普渡大学。 此前很少有开源项目使用加密签名手段,主要原因是软件维护人员在密钥管理、撤销和公钥分配等工作方面遇到了一定的挑战。 基于此,许多用户只能努力寻找受信任的密钥,并自行学习验证签名所需的步骤,更别提公钥的分发方式还存在着其它问题。 这些公钥通常存储在易受黑客攻击的网站上,甚至放置在公共 git 存储库的自述(README)文件中。 但随着 sigstore 公共服务的推出,我们可以使用临时密钥和信任根来规避上述问题(后者源于开放且可审核的公共透明日志)。 最后,谷歌开源安全团队的 Dan Lorenc 表示:sigstore 旨在让所有版本的开源软件都能够经过验证,且允许客户轻松对其展开实际验证,希望未来这一过程能能够变得更加容易。
服务主页 sigstore官网:https://sigstore.dev/
相关主题 |