Sigstore – 一种用于签署、验证和保护软件的新标准

2021-08-10 04:33:56

不知道所有软件的来源意味着难以发现服务完整性的风险。如果没有针对密钥和秘密的持续身份检查和安全协议,开源依赖关系可能会打开漏洞、漏洞利用和供应链攻击的大门。不知道所有软件的来源意味着难以发现服务完整性的风险。如果没有针对密钥和秘密的持续身份检查和安全协议,开源依赖关系可能会打开漏洞、漏洞利用和供应链攻击的大门。 sigstore 开始为使用开源项目的任何人改进供应链技术。它面向开源维护者,由开源维护者提供。这是对当今挑战的直接回应,是为未来我们构建和使用的内容的完整性达到标准而进行的工作。我们已经自动化了您对组件进行数字签名和检查的方式,以实现更安全的监管链追踪软件追溯到源头。我们希望消除这通常带来的工作量、时间和出错风险。对于任何软件依赖开源的人来说,未来的集成可以更容易地检查真实性,无论它来自哪里。我们使用 Cosign 生成签名和验证工件所需的密钥对,尽可能自动化,因此不存在丢失或泄漏它们的风险。透明日志意味着任何人都可以找到并验证签名,并检查是否有人更改了源代码、构建平台或工件存储库。

参与 sigstore 的每个人都相信开源软件的开放、透明和负责任的未来。我们所做的一切都源于这个共同的愿景。 sigstore 是一组开发人员、软件维护人员、包管理人员和安全专家可以从中受益的工具。它汇集了 Fulcio、Cosign 和 Rekor 等免费使用的开源技术,处理数字签名、验证和来源检查,从而使分发和使用开源软件更安全。这意味着上传用于分发的开源软件有一种更严格、更标准化的方法来检查谁参与了,它没有被篡改。没有密钥泄露的风险,因此第三方无法劫持发布并插入恶意内容。在包括谷歌、Linux 基金会、红帽和普渡大学在内的合作伙伴关系的帮助下,我们不断合作寻找改进 sigstore 技术的新方法,使其易于采用、集成并成为长期持久标准。透明度日志存储数据,例如谁创建了某些东西以及如何创建,因此您知道它没有被更改。记录的数据很容易审核,以便将来的监控和集成构建到您的安全工作流程中。