开源代码固有的弱点是难以确定其来源和构建方式,这意味着它容易受到供应链攻击。Google致力于解决这个问题,这就是为什么它与Red Hat和Smallstep合作在Linux Foundation中引入Sigstore(风格化的“ sigstore”)的原因,从而使数字签名和验证源代码更加容易。
Google将sigstore描述为“让我们进行代码签名的加密”。虽然后者负责为HTTPS提供证书和自动化工具,前者的确代码签名相同。
此外,所有sigstore认证和证明都存储在Trillian支持的透明日志中,任何人都可以查看和审核。Google表示,它了解长期密钥管理和密钥分发背后的挑战,因此它将基于OpenID Connect授权和根证书颁发机构(CA)颁发短期证书,以明确表示代码签名的目的。
红帽安全工程主管Luke Hinds继续说:
我对sigstore以及提高软件供应链安全性的意义感到非常兴奋。sigstore是一个开源社区团结在一起,以协作和开发解决方案以简化以透明方式采用软件签名的很好的例子。
按照目前的情况,sigstore具有功能齐全的透明性日志,但是WebPKI和客户端签名工具仍处于原型开发阶段,尚不能用于一般用途。该工具是开源的,可供所有开发人员免费使用。开发团队认为不涉及隐私问题,因为sigstore不需要访问任何个人信息,只有OpenID Connect补助金将包含用户的电子邮件地址。sigstore的未来计划包括引入对其他OpenID Connect提供程序的支持,更新文档,完成其余签名基础结构的开发以及强化系统以使其通用。您可以在专用网站上找到有关该项目的更多信息。