Google ve Red Hat, Yazılım İmzalama Hizmeti İçin Linux Foundation ile İşbirliği Yapıyor
Proje, tedarik zinciri güvenlik risklerini azaltmak için açık kaynaklı yazılımı kriptografik olarak doğrulamayı amaçlamaktadır.
Linux Vakfı, açık kaynak geliştiricilerin, tedarik zincirinin daha aşağısındaki kullanıcılara kullandıkları yazılımın meşru olduğundan emin olmak için yazılımı kriptografik olarak imzalamaları için ücretsiz bir hizmet başlattı.
Google ve Red Hatile ortaklaşa geliştirilen Sigstore projesi, açık kaynak topluluğunun sürüm dosyaları, kapsayıcı görüntüleri ve ikili dosyalar dahil olmak üzere yazılım yapılarını, bu öğeler herkese açık bir günlükte depolanmadan önce imzalamasına olanak tanıyacak.
Amaç, geliştiricilerin sürümleri imzalamasını ve kullanıcıların bunları doğrulamasını kolaylaştırmak ve yaygın bir şekilde açık kaynak tedarik zinciri saldırıları tehdidinde bir azalmaya dönüşüyor. Bunun nedeni, açık kaynaklı yazılımla ilgili en büyük sorunlardan birinin, yazılımın nereden geldiğini ve nasıl oluşturulduğunu belirlemenin genellikle zor olmasıdır.
Google’ın ürün müdürü Kim Lewandowski ve ürün mühendisi Dan Lorenc, “Bugün çoğu açık kaynaklı yazılımı yüklemek, kaldırımdan rastgele bir USB bellek alıp makinenize takmaya eşdeğerdir.” dedi. “Bunu ele almak için, açık kaynaklı paketler de dahil olmak üzere tüm yazılımların kaynağını doğrulamayı mümkün kılmamız gerekiyor.
“Sigstore’un misyonu, geliştiricilerin sürümleri imzalamasını ve kullanıcıların bunları doğrulamasını kolaylaştırmaktır. Bunu Kod İmzalama için Şifrele gibi düşünebilirsiniz. Let’s Encrypt’in HTTPS için ücretsiz sertifikalar ve otomasyon araçları sağlaması gibi, Sigstore da kaynak kodun imzalarını otomatikleştirmek ve doğrulamak için ücretsiz sertifikalar ve araçlar sağlıyor. “
Sigstore, OpenID Connect izinlerine dayalı kısa ömürlü sertifikalar yayınlayarak ve tüm etkinlikleri Trillian anlık yönetim yazılımı tarafından desteklenen günlüklerde depolayarak anahtar yönetimine benzersiz bir yaklaşım benimser. Bu, takımın tehlikeleri tespit edebilmesi ve ortaya çıktığında bunlardan kurtulabilmesi içindir.
Bu yaklaşım, anahtar dağıtımının “herkesin bildiği gibi zor” olduğu ve geliştiricilerin ücretsiz olarak sağlanacak bir Kök Sertifika Yetkilisi (CA) oluşturarak bir yönetim merkezi ihtiyacını ortadan kaldırdığı gerçeğinin ışığında tasarlanmıştır.
Makalenin orijinal kaynağı için tıklayınız.