Linux Foundation, Red Hat, Google и Purdue представили бесплатную службу sigstore, которая позволяет разработчикам подписывать код и проверять программное обеспечение с открытым исходным кодом для предотвращения атак на цепочку поставок.
Как показали недавние атаки путаницы зависимостей и злонамеренные пакеты NPM с опечатками, экосистема с открытым исходным кодом обычно является мишенью для атак цепочки поставок.
Чтобы отразить эти атаки, злоумышленники будут создавать вредоносные пакеты с открытым исходным кодом и загружать их в общедоступные репозитории, используя имена, аналогичные популярным легитимным пакетам. Если разработчик по ошибке включает вредоносный пакет в свой собственный проект, вредоносный код будет автоматически выполнен при сборке проекта.
Чтобы предотвратить подобные атаки, sigstore будет бесплатной некоммерческой службой подписи программного обеспечения, которая позволит разработчикам подписывать программное обеспечение с открытым исходным кодом и проверять его подлинность.
«Вы можете думать об этом как о Let's Encrypt для подписи кода. Так же, как Let's Encrypt предоставляет бесплатные сертификаты и инструменты автоматизации для HTTPS, sigstore предоставляет бесплатные сертификаты и инструменты для автоматизации и проверки подписей исходного кода».
«У Sigstore также есть дополнительное преимущество, заключающееся в поддержке журналов прозрачности, что означает, что все сертификаты и аттестации глобально видны, доступны для обнаружения и проверки», - пояснил Google в сегодняшнем сообщении в блоге .
Sigstore построен на основе недолговечных сертификатов на основе грантов OpenID Connect, общедоступных журналов прозрачности и специального корневого центра сертификации, выделенного только для подписи кода.
Демонстрация SigstoreПоскольку журналы прозрачности являются общедоступными, их можно легко отслеживать на предмет взлома и откатывать при обнаружении.
В настоящее время проект находится на начальной стадии разработки, но координаторы проекта запрашивают отзывы и участие других разработчиков.
Перевод - Google
Bleeping Computer