Szerző: Hlács Ferenc

2021. március 10. 12:34

Ingyenes szoftveraláírási szolgáltatást indít Linux Foundation

Az ellátási láncokat tenné biztonságosabbá az alapítvány Sigstore kezdeményezése.

Új projekttel igyekszik megacélozni a globális szoftveres ellátási láncok biztonságát a Linux Foundation. A Sigstore névre hallgató kezdeményezéssel az alapítvány egy teljes mértékben nyílt forrású, ingyenesen használható, titkosított szoftveraláírási megoldást biztosít majd a fejlesztők és szoftverházak számára.

Hogy a szoftveres ellátási láncok megfelelő védelme miért kiemelten fontos, valószínűleg nem kell sokat ecsetelni: a tavaly decemberben napvilágot látott, egészen addig példátlan mértékű, világszerte cégek és kormányzati szervezetek ezreit érintő Solarwinds-kibertámadást is az ellátási lánc gyenge védelmének köszönhetően tudták véghez vinni a feltételezhetően orosz állami hátterű hackerek.

A Sigstore a szoftveres ellátási láncok védelmét a titkosított szoftveraláírások bevezetésének egyszerűsítésével erősítené - a titkosítási kulcsok kezelése sokszor nagy kihívást jelent az egyes szoftverek fenntartóinak, akiknek a használatban lévő kulcsok listája mellett az egyes projektekben korábban részt vevő, de már inaktív fejlesztőkhöz tartozó kulcsokat is menedzselniük kell. Az egyes projektek nyilvános kulcsait ráadásul sokszor a git repók readme fájljaiban vagy a kapcsolódó weboldalakon tárolják, ami nem elhanyagolható biztonsági kockázatot jelent.

secrill

Docker és Terraform képzésekkel indul a tavaszt! (x)

Április 19-20-án 12 órás online, alapozó képzéseket indít a HWSW.

Docker és Terraform képzésekkel indul a tavaszt! (x) Április 19-20-án 12 órás online, alapozó képzéseket indít a HWSW.

A Sigstore egy ingyenesen használható, nonprofit szoftveraláírási szolgáltatás, amely olyan létező technológiákra épít, mint a nyilvános kulcsok tanúsítványainak formátumát kijelölő x509 PKI (Publick Key Infrastructure, azaz nyilvános kulcsú infrastruktúra) szabvány, illetve az átláthatósági naplók. A felhasználók a Sigstore klienseszközök segítségével ideiglenes, rövid ideig használható kulcspárokat generálhatnak, a sikeres azonosításokhoz pedig a PKI szolgáltatás biztosít aláírási tanúsítványt. A rendszer valamennyi tanúsítványt egy tanúsítvány-átláthatósági naplóba rögzít, míg az aláírásokhoz szükséges anyagokat egy aláírás-átláthatósági naplóban tárolja. A naplók használata biztosítja a felhasználók hitelesítését egy OpenID profilon keresztül.

A tervek szerint a Sigstore-t a fejlesztők első körben az olyan komponensekhez használhatják majd, mint a lefordított binárisok, tarballok vagy konténer-képfájlok. A későbbiekben a támogatás további formátumokkal bővül majd, a Linux Foundation továbbá a különböző csomagkezelőkkel is együtt dolgozik, hogy közösségeik számára megkönnyítse a szolgáltatás használatát. A Sigstore-on jelenleg is zajlik a munka, annak állásáért érdemes felkeresni a projekt weboldalát.

a címlapról