Linux Foundation、Red Hat、Google和Purdue近日推出了免费的“sigstore”代码签名服务,该服务使开发人员可以对开放源代码进行代码签名和验证,以防止供应链攻击。
正如最近的依赖关系混淆攻击和恶意NPM软件包所展示的,越来越多的供应链攻击开始瞄准开源生态系统。
攻击者将开发恶意开源程序包,并使用与流行的合法程序包相似的名称将其上传到公共存储库。如果开发人员错误地将恶意软件包包含在自己的项目中,则在开发项目时将自动执行恶意代码。
Sigstore的推出,就是为了防止此类型的攻击。“sigstore”是一种免费使用的非盈利性软件签名服务,允许开发人员对开源软件进行签名并验证其真实性。
“您可以将Sigstore看作是类似Let's Encrypt的免费HTTPS证书和自动化工具,sigstore也提供免费的证书和工具来自动化和验证源代码的签名。”谷歌在博客中介绍说:“Sigstore还支持透明日志,这意味着所有证书和证明都是全球可见、可发现和可审计的。”
Sigstore的构建基于OpenID Connect短期证书、公共透明日志和为代码签名分配的特殊Root CA证书。
参考资料:
https://security.googleblog.com/2021/03/introducing-sigstore-easy-code-signing.html
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】