Sigstore: сервис для верификации ПО с помощью цифровых подписей

Некоммерческий консорциум Linux Foundation, Google, Red Hat и университет Пердью анонсировали новый проект для верификации ПО с помощью цифровых подписей и ведения публичного лога (transparency log) для подтверждения подлинности. Он будет реализован на базе Linux Foundation и получил название Sigstore. Проект направлен на повышение безопасности цепочки поставок программного обеспечения, давая разработчикам возможность безопасно подписывать программные артефакты, такие как файлы с релизами, образы контейнеров и двоичные файлы. Записи будут храниться в открытом журнале, защищенном от несанкционированного доступа.

Авторы проекта говорят, что то, как разработчики распространяют дайджесты и открытые ключи некорректно и опасно. Слишком часто они хранятся на веб-сайтах, которые можно взломать, или в файле README в общедоступном репозитории git. Sigstore стремится решить эти проблемы за счет использования временных эфемерных ключей с доверительным корнем, полученным из открытого и проверяемого публичного лога. Это станет возможно также с выходом новых инструментов цифровой подписи. Например, каталоги, управляемые Tidelift, которые отслеживают проактивно обслуживаемые компоненты и охватывают общие языковые среды, такие как JavaScript, Python, Java, Ruby, PHP, .NET и Rust.

Sigstore должна избежать всех ошибок, которые возникли в системе безопасности SolarWinds. Ее, например, можно использовать для создания спецификации программного обеспечения, с помощью который разработчик будет знать, какой код он использует в конкретном проекте.

По заявлению создателей проекта, Sigstore будет бесплатной для всех разработчиков и поставщиков программного обеспечения.