Linux基金會、Google、紅帽及美國普渡大學宣布啟動Sigstore專案,以確保軟體維護者、分發者或是消費者都能信賴開源程式、產出或工具,改善軟體供應鏈的安全性。

Linux基金會Google、紅帽及美國普渡大學在本周二(3/9)宣布啟動Sigstore專案,以確保軟體維護者、分發者或是消費者都能信賴開放原始碼的程式、產出或工具,改善軟體供應鏈的安全性。

現代要安裝大多數的開源軟體時,通常是拿一個隨身碟就把它插到電腦上,不太會在意它的出處、來源或是否遭到竄改。Linux基金會指出,目前只有極少數的開源專案以密碼簽署軟體版本產品,大多數是因為這些軟體維護者在金鑰管理、金鑰外洩/撤銷,以及公鑰與產出摘要分發上遇見了難題,於是使用者就必須自行尋找可靠的金鑰並學習如何驗證簽章;此外,現在的摘要與公鑰的分發也存在著問題,它們可能被置放在不安全的網站上,或是直接曝露於Git儲存庫的「讀我」(Readme)檔案上。

然而,如同Let's Encrypt執行總監Josh Aas所說:「安全進行軟體部署的第一步,就是確定所安裝的軟體是我們以為的軟體。」而Sigstore即是為了驗證開放原始碼的真實性而誕生。

根據Sigstore專案的規畫,該服務將允許所有的軟體開發者都能安全地簽署軟體產出,像是所釋出的檔案、容器映像檔或是二進位文件,並把這些簽署的材料存放在不可竄改的公開日誌中。於是,所有開源社群都能簽署他們的軟體,同時結合了出處、完整性與發現能力,以建立一個透明且可供稽核的軟體供應鏈。

上述組織將共同開發Sigstore程式碼及操作工具,且Sigstore將免費供所有的開發者及軟體供應商使用,不過,現階段該專案仍屬早期發展階段,可能要一段時日才能完成。

熱門新聞

Advertisement