Ingyenes szoftveraláírási szolgáltatást indít Linux Foundation
Az ellátási láncokat tenné biztonságosabbá az alapítvány Sigstore kezdeményezése.
Új projekttel igyekszik megacélozni a globális szoftveres ellátási láncok biztonságát a Linux Foundation. A Sigstore névre hallgató kezdeményezéssel az alapítvány egy teljes mértékben nyílt forrású, ingyenesen használható, titkosított szoftveraláírási megoldást biztosít majd a fejlesztők és szoftverházak számára.
Hogy a szoftveres ellátási láncok megfelelő védelme miért kiemelten fontos, valószínűleg nem kell sokat ecsetelni: a tavaly decemberben napvilágot látott, egészen addig példátlan mértékű, világszerte cégek és kormányzati szervezetek ezreit érintő Solarwinds-kibertámadást is az ellátási lánc gyenge védelmének köszönhetően tudták véghez vinni a feltételezhetően orosz állami hátterű hackerek.
A Sigstore a szoftveres ellátási láncok védelmét a titkosított szoftveraláírások bevezetésének egyszerűsítésével erősítené - a titkosítási kulcsok kezelése sokszor nagy kihívást jelent az egyes szoftverek fenntartóinak, akiknek a használatban lévő kulcsok listája mellett az egyes projektekben korábban részt vevő, de már inaktív fejlesztőkhöz tartozó kulcsokat is menedzselniük kell. Az egyes projektek nyilvános kulcsait ráadásul sokszor a git repók readme fájljaiban vagy a kapcsolódó weboldalakon tárolják, ami nem elhanyagolható biztonsági kockázatot jelent.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
A Sigstore egy ingyenesen használható, nonprofit szoftveraláírási szolgáltatás, amely olyan létező technológiákra épít, mint a nyilvános kulcsok tanúsítványainak formátumát kijelölő x509 PKI (Publick Key Infrastructure, azaz nyilvános kulcsú infrastruktúra) szabvány, illetve az átláthatósági naplók. A felhasználók a Sigstore klienseszközök segítségével ideiglenes, rövid ideig használható kulcspárokat generálhatnak, a sikeres azonosításokhoz pedig a PKI szolgáltatás biztosít aláírási tanúsítványt. A rendszer valamennyi tanúsítványt egy tanúsítvány-átláthatósági naplóba rögzít, míg az aláírásokhoz szükséges anyagokat egy aláírás-átláthatósági naplóban tárolja. A naplók használata biztosítja a felhasználók hitelesítését egy OpenID profilon keresztül.
A tervek szerint a Sigstore-t a fejlesztők első körben az olyan komponensekhez használhatják majd, mint a lefordított binárisok, tarballok vagy konténer-képfájlok. A későbbiekben a támogatás további formátumokkal bővül majd, a Linux Foundation továbbá a különböző csomagkezelőkkel is együtt dolgozik, hogy közösségeik számára megkönnyítse a szolgáltatás használatát. A Sigstore-on jelenleg is zajlik a munka, annak állásáért érdemes felkeresni a projekt weboldalát.