Die Linux Foundation startet sigstore, einen neuen Software-Signaturdienst

Die Linux Foundation startet ihr neues Sigstore- Projekt, um mehr Sicherheit und Schutz für alle Aspekte der Software-Lieferkette zu bieten. Mit dem neuen Projekt können Entwickler bestimmte Aspekte ihres Entwicklungsprozesses signieren und sicherstellen, dass Dateien und andere Assets eine starke, manipulationssichere Verschlüsselung aufweisen.

Sigstore zum Schutz von Software-Ursprüngen

Der Sigstore der Linux Foundation ist ein kostenloser, gemeinnütziger Software-Signaturdienst für gemeinnützige Zwecke, der vorhandene Schlüsseltechnologien verwendet, um die Lieferketten für die Softwareentwicklung besser zu schützen.

Darüber hinaus werden transparente Protokollierungstechnologien verwendet, um die Rückverfolgung der "Herkunft, Integrität und Auffindbarkeit" der Software-Lieferkette zu vereinfachen und sowohl Projektbesitzern als auch Mitwirkenden das Vertrauen und die Überwachung von Änderungen zu erleichtern.

Kurz gesagt, Sigstore könnte Softwareentwicklern eine benutzerfreundlichere und kostenlose Option zum Schutz der wichtigen Dateien bieten, die mit einem Projekt verbunden sind. Entwickler können Sigstore verwenden, um Release-Dateien, Binärdateien, Manifeste, Dokumente, Protokolle und mehr zu signieren.

Nach der Unterzeichnung werden die Details einem "manipulationssicheren öffentlichen Protokoll" hinzugefügt , das als " rekor " bekannt ist und von der Linux Foundation ebenfalls entwickelt wurde.

Benutzer sind anfällig für verschiedene gezielte Angriffe sowie für Kompromisse bei Konten und kryptografischen Schlüsseln. Insbesondere Schlüssel sind eine Herausforderung für Software-Betreuer. Projekte müssen häufig eine Liste der aktuell verwendeten Schlüssel führen und die Schlüssel von Personen verwalten, die nicht mehr zu einem Projekt beitragen.

Santiago Torres-Arias, Assistenzprofessor für Elektrotechnik und Informationstechnik an der Universität von Purdue, ist "sehr aufgeregt über die Aussichten eines Systems wie Sigstore".

Das Software-Ökosystem benötigt dringend so etwas, um den Zustand der Lieferkette zu melden. Ich stelle mir vor, dass wir mit der Beantwortung aller Fragen zu Softwarequellen und -besitz durch Sigstore anfangen können, Fragen zu Softwarezielen, Verbrauchern, Compliance (rechtlich und anderweitig) zu stellen, um kriminelle Netzwerke zu identifizieren und kritische Software-Infrastrukturen zu sichern

Verwandte Themen : So richten Sie SSL auf Ihrer Website schnell und kostenlos mit Let's Encrypt ein

Schutz gefährdeter Softwareentwickler

Das Sigstore-Projekt der Linux Foundation macht auf einen gefährdeten Bereich für Softwareentwickler aufmerksam. Derzeit signieren nur sehr wenige Projekte aktiv Software-Artefakte. Es ist zeitaufwändig, erfordert zusätzliches Management und die Zeit wird oft besser an anderer Stelle verbracht – anstatt sich mit komplexen Schlüsselverwaltungsmechanismen zu befassen.

Verwandte: Die Mythen über HTTPS- und SSL-Zertifikate, die Sie nicht glauben sollten

Derzeit entscheiden sich viele Entwickler für die einfachste Option, bei der kritische Verschlüsselungsschlüssel in Readme-Dateien oder anderen anfälligen Stellen versteckt werden. Die Verwendung potenziell leicht zugänglicher Dateien ohne Schutz ist ein Rezept für eine Katastrophe, wie bei den verschiedenen GitHub- und Bitbucket-Verstößen im Laufe der Jahre zu sehen ist.

sigstore sollte es daher zumindest ein bisschen einfacher machen, Verschlüsselungsschlüssel für Softwareprojekte zu verwalten, und Entwicklern die Möglichkeit geben, mit der Arbeit fortzufahren, die ihnen tatsächlich Spaß macht.