几个月前,如果你问某人他们最关心的是IT安全问题,你会得到很多不同的答案。然后验证的可复制版本
惠勒解释道,“A可复制构建是一种”在给定相同输入的情况下总是产生相同的输出,以便可以验证构建结果。验证的可复制构建是一个过程,其中独立组织根据源代码生成构建,并验证构建结果是否来自声明的源代码。“
这反过来又可以用于创建软件物料清单(SBOM)。使用SBOM,您将确切地知道在任何给定项目中使用的代码。这是开源的另一个论据。Orion,例如,Solarwinds黑客程序和所有专有软件一样,是一个黑匣子。除了建筑工人没有人知道里面有什么。正如我们现在所知,Solarwinds在外部公司发现它的腐败之前并不知道它的内部是什么。
Sigstore将避免这种情况,Red Hat在CTO办公室的安全工程负责人Luke Hinds解释说,这将使“所有开源社区都能签署他们的软件,并结合出处、完整性,和可发现性来创建一个透明和可审计的软件供应链。”
这并不容易。虽然有一些https://thenewstack.io/why-open-source-project-maintainers-are-digital-signatures-two-factor-authentication/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>开放源代码数字签名工具现在可用,很少有开发人员使用它们。许多程序员,即使是现在,也看不到采取额外步骤来“签署”他们的软件的意义。
此外,正如马特·西克尔所说,Tidelift管理的目录跟踪众所周知的好的、主动维护的组件,这些组件涵盖了JavaScript、Python、Java、Ruby、PHP、.NET和Rust等公共语言框架。
即便如此,目前很少有开源项目以加密方式签署他们的软件版本。这主要是因为软件维护人员在安全密钥管理、密钥泄露/撤销方面面临的挑战。以及公钥和工件摘要的分发。用户常常不得不自己寻找信任哪些密钥以及如何验证签名。这不是一般IT人员的工作。
但是,等等,还有m总之,我们目前分发摘要和公钥的方式是不好的。它们常常存储在可黑客攻击的网站上,或者公共git存储库中的自述文件中。那只是要求被窃听。Sigstore试图通过使用短期的临时密钥来解决这些问题,该密钥的信任根来自一个开放且可审核的公共透明日志。
换句话说,正如Alex Karasulu,同时也是ASF成员https://www.optdyn.com/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>OptDyn首席执行官说,“问题不在于开源开发者懒惰或不情愿。这是专门针对代码签名的双因素身份验证(2FA)不存在。有一些技术可以实现这一点:Git修订版可以通过GitHub上的强制2FA帐户进行签名,进程可以得到松散的保护,或者GPG代码签名密钥可以存储在需要第二个因素的设备上,以便对包括代码和释放校验和在内的任何内容进行数字签名。有很多方法可以剥下这只猫的皮,但是没有一个标准来保证这个过程的一致性。基本上是自由裁量的。”
没有标准化,保护软件供应链几乎是不可能的。sigstore的支持者希望他们能解决这些问题。这个目标值得努力。作为https://www.abetterinternet.org/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>互联网安全研究小组(ISRG)和让我们加密,他说:“保护软件部署应该从确保我们运行的是我们认为是的软件开始。Sigstore代表了一个给开源软件供应链带来更多信心和透明度的好机会。”
毕竟,正如普渡大学电气和计算机工程助理教授兼项目创始人Santiago Torres Arias所指出的,“软件生态系统迫切需要类似的东西来报告供应链的状态。我设想,随着sigstore回答所有有关软件源和所有权的问题,我们可以开始询问有关软件目的地、消费者、合规性(法律和其他方面)的问题,以确定犯罪网络和保护关键软件基础设施。”
我们真的需要sigstore。即使是现在,我们仍然没有真正理解太阳风灾难有多严重。如果没有一个真正安全的开源供应链,我们可以肯定会看到更严重的灾难。
相关报道:
