谷歌联合开源生态组织推出开源软件签名服务sigstore

今天，谷歌发布博客文章，宣布和Linux 基金会、Red Hat以及普渡大学共同推出 sigstore 项目。该项目通过改进软件供应链完整性和验证来保护供应链的安全。如下是奇安信代码卫士团队对博客文章的编译。

开源软件的一个根本安全问题是难以了解软件的来源以及软件的构建过程，因此易受供应链攻击。依赖混淆攻击和恶意 RubyGems 数据包窃取密币事件就是最近发生的案例。

今天我们宣布推出 Linux 基金会的新项目 sigstore，旨在通过改进软件供应链完整性和验证方式来解决这一问题。

当前，安装多数开源软件的过程犹如从人行道上捡一个随机的拇指驱动器然后插入计算机一样不了解来源。为解决这个问题，我们需要验证包括开源包在内的所有软件的来源。我们在近期发布的“知悉、预防、修复”框架中提到了这样做的重要性。

sigstore 的目的是让开发人员能够更轻松地签名软件发布，让用户更容易进行验证。你可以把它当作用于代码签名的 Let’s Encrypt。Let’s Encrypt提供的是免费自动的证书和自动化工具，同理，sigstore 提供的是自动化并验证源代码签名的免费证书和工具。sigstore 还拥有额外好处，它受透明度日志技术支持，即所有的证书和认证都是全球可见的、可发现的和可审计的。

sigstore 是开源维护人员为开源维护人员而设计的。我们知道长期的密钥管理不易执行，因此我们采用了基于 OpenID Connect 权限颁发短期证书的独特方法。sigstore 还将所有活动都存储在 Transparency Logs （透明度日志）中，便于我们更加轻松地检测并应对攻陷事件。密钥发行任务的艰难程度有目共睹，因此我们通过仅为代码签名构建特殊 Root CA 的方式满足了这一需求，而且也将免费发布。

我们很高兴和大家分享如下运行中的原型和 PoC并期待大家的反馈。我们的目标是让代码签名和验证无缝轻松对接。

和 Red Hat 和开源社区一起协作乐趣多多。sigstore 的首席开发人员之一兼 Red Hat 的安全工程总监 Luke Hinds 表示，“我对 Sigstore 及其对于改进供应链安全的意义感到非常兴奋。Sigstore 是开源社区通力协作并以透明的方式轻松采用代码签名的绝佳案例"。这和我们的想法不谋而合。

Smallstep 公司的首席执行官 Mike Malone 助力sigstore 的整体设计工作。他指出，“在不到一代的时间里，开源以从一小簇社区成长为一个关键的生态系统，促进全球经济和社会文化机构的发展。在不损害其运行所需的开放、去集中化的协作前提下，我们应确保这一生态系统的安全。sigstore 构建于尊重隐私和大规模工作的现有技术的巧妙结合基础之上，是我们解决这一基本问题所需的核心基础设施。它是一个雄心勃勃的项目，且具有潜在的全球影响力。谷歌、Red Hat 和 Linux 基金会在过去几个月来所取得的快速进展让人印象深刻，而且我很期待从更广的社区获得反馈。“

虽然已取得的进展令人高兴，但我们知道在被广泛使用之前仍然还需努力。sigstore 未来的计划包括：加固系统安全、为其它 OpenID Connect 提供商提供支持以及更新文档和响应社区反馈。

虽然Sigstore 尚处于发展初期，但它的未来仍然令人兴奋。现在设计细节还在完善之中，因此希望大家抓住这一良机给出反馈、试用工具并参与到项目中来。

项目地址：https://sigstore.dev/

参考链接

https://security.googleblog.com/2021/03/introducing-sigstore-easy-code-signing.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+GoogleOnlineSecurityBlog+%28Google+Online+Security+Blog%29

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。