Linux 基金会将推出代码签名及验证服务

系统 Linux
近日,Linux 基金会宣布将联合红帽、Google 和普渡大学推出免费的「sigstore」服务,让开发者可以对开源软件进行代码签名和验证,以防止供应链攻击(supply-chain attacks)。

近日,Linux 基金会宣布将联合红帽、Google 和普渡大学推出免费的「sigstore」服务,让开发者可以对开源软件进行代码签名和验证,以防止供应链攻击(supply-chain attacks)。

正如最近的依赖混淆攻击以及恶意拼写的 NPM 包所证明的那样,开源生态系统是供应链攻击的常见目标。

为了进行这些攻击,攻击者会创建恶意的开源软件包,并使用与知名的合法软件包相似的名称将其上传到公共仓库。如果开发人员错误地将恶意软件包包含在自己的项目中,恶意代码将在项目构建时自动执行。

[[386913]]

为了防止这类攻击,「sigstore」也就应运而生。sigstore 将会是一个免费使用的非盈利性软件签名服务,允许开发者对开源软件进行签名并验证其真实性。

你可以把它想象成是用于代码签名的 Let's Encrypt。就像 Let's Encrypt 如何为 HTTPS 提供免费证书和自动化工具一样,sigstore 同样也提供免费证书和自动化工具,只不过是用于验证源代码的签名。

Google 在博客中解释道:“sigstore 还拥有透明度日志支持这一额外优势,这意味着所有的证书和证明都是全局可见、可发现和可审计的"。

Sigstore 是基于 OpenID Connect 所授予的公共透明日志和为代码签名分配的特殊 Root CA 短期证书所构建的。

由于透明日志是公开的,因此开发者可以很容易地进行监控,并在发现问题时及时回滚。该项目目前处于开发的早期阶段,但项目发起人也希望有更多开发者能够参与该项目并提供及时反馈。

本文转自OSCHINA

本文标题:Linux 基金会将推出代码签名及验证服务

本文地址:https://www.oschina.net/news/132634/linux-foundation-unveils-a-encrypt-for-code-signing

责任编辑:未丽燕 来源: 开源中国
相关推荐

2021-03-12 15:46:11

Linux基金会攻击

2010-05-26 09:04:29

Linux基金会

2020-07-03 21:55:41

Linux 系统 数据

2009-12-10 15:48:06

Linux基金会

2012-03-29 13:05:50

EclipseOrionJava

2011-04-21 10:44:06

Linux基金会雅虎

2009-09-10 09:56:52

威盛电子Linux基金会Linux

2009-07-02 18:53:07

Linux

2016-11-18 09:16:53

LinuxGoogle.NET基金会

2022-09-13 15:03:01

LinuxPyTorch

2017-06-23 13:35:43

Linux内核形式验证

2011-04-08 10:31:24

Linux微软

2017-05-09 12:48:38

腾讯云

2010-05-10 15:04:51

Linux基金会

2010-06-30 09:05:52

Linux基金会

2009-09-10 09:21:52

Linux基金会LinuxLinux规划

2009-09-21 09:55:55

Linux基金会Linux未来规划开源操作系统

2009-12-11 09:27:08

自由软件社区团队

2017-03-09 14:30:32

VMwareLinux开源

2012-06-27 16:24:47

Linux开源工具
点赞
收藏

51CTO技术栈公众号