Open|简化签名体验:Linux基金会推出sigstore软件真实性验证服务
【Open|简化签名体验:Linux基金会推出sigstore软件真实性验证服务】致力推动开源创新的 Linux 基金会,刚刚宣布了一项旨在通过便捷的加密软件签名、提升软件供应链安全性的新服务 。BetaNews 报道称,名为“sigstore”的这项辅助,使得软件开发者能够轻松地对各种软件工件进行签名,比如发行文件、容器映像、以及二进制文件 。
文章图片
(传送门:Sigstore.dev)
通过将签名材料存储在防篡改的公共日志中,Linux 基金会希望 sigstore 签名服务能够在开源软件开发领域普及开来 。当前的项目创始成员,包括了红帽、谷歌、以及普渡大学 。
红帽首席技术官办公室的安全工程负责人 Luke Hinds 表示:
sigstore 旨在全面覆盖凯源代码社区,允许开发者轻松地为软件提供签名 。结合出处、完整性和可发现性,此举有助于营造透明且可审核的软件供应链 。此前很少有开源项目使用加密签名手段,主要原因是软件维护人员在密钥管理、撤销和公钥分配等工作方面遇到了一定的挑战 。
在 Linux 基金会的主持合作下,我们可以加快 sigstore 的相关工作,以促进开源软件的开发、采用和行业影响力 。
基于此,许多用户只能努力寻找受信任的密钥,并自行学习验证签名所需的步骤,更别提公钥的分发方式还存在着其它问题 。
这些公钥通常存储在易受黑客攻击的网站上,甚至放置在公共 git 存储库的自述(README)文件中 。最后,谷歌开源安全团队的 Dan Lorenc 表示:sigstore 旨在让所有版本的开源软件都能够经过验证,且允许客户轻松对其展开实际验证,希望未来这一过程能能够变得更加容易 。
但随着 sigstore 公共服务的推出,我们可以使用临时密钥和信任根来规避上述问题(后者源于开放且可审核的公共透明日志) 。
推荐阅读
- 项目|开源鸿蒙OpenHarmony 3.0实现全设备能力初步覆盖
- 网络|5G真香,赛灵思加入Open RAN政策联盟
- 社区|openGauss聚焦技术创新,打造属于时代的数据库
- Open|意大利法院认定开源软件许可证的可执行性
- Summit|汇数据库创新力量,逐梦数字时代星辰大海,openGauss Summit即将召开
- Open|白宫邀请软件业者座谈以改善开源软件领域的安全状况
- 教育|腾讯教育翟东海:AI技术升级后,课后延时服务的创新实践| OpenTalk
- 社区|阿里云等企业主导的龙蜥社区发起“龙腾计划”;OpenInfra基金会推出LOKI标准;GitLab 14.6发布 | 开源日报
- 教育|科大讯飞常鑫:学校对课后服务的课程需求变化及未来趋势 | OpenTalk
- 社区|开源操作系统社区OpenCloudOS正式成立,共建国产操作系统技术生态