可以將 Sigstore 視為代碼的 Let's Encrypt,提供對代碼進行數字簽名的證書和自動化驗證的工具。
谷歌揭幕 通過一篇博文,宣布 的第一個穩定版本的形成 組成項目的組件 簽名商店, 它被聲明適合創建工作部署。
對於那些不知道 Sigstore 的人來說,他們應該知道這是一個項目 旨在開發和提供用於軟件驗證的工具和服務 使用數字簽名並維護一個公共註冊表,以確認更改的真實性(透明度註冊表)。
使用 Sigstore, 開發人員可以進行數字簽名 與應用程序相關的工件,例如發布文件、容器映像、清單和可執行文件。 用於的材料 簽名反映在防篡改的公共記錄中 可用於驗證和審計。
而不是永久密鑰, Sigstore 使用短暫的臨時密鑰 根據 OpenID Connect 提供商驗證的憑據生成的證書(在生成創建數字簽名所需的密鑰時,通過 OpenID 提供商通過電子郵件鏈接識別開發人員)。
密鑰的真實性由集中的公共註冊表驗證, 這使您可以確保簽名的作者正是他們所說的身份,並且簽名是由負責早期版本的同一參與者形成的。
準備Sigstore 實施 是由於 兩個關鍵組件的版本控制: Rekor 1.0 和 Fulcio 1.0,其編程接口被聲明為穩定的,並且從此保持與以前版本的兼容性。 該服務的組件是用 Go 編寫的,並在 Apache 2.0 許可下發布。
組件 Rekor 包含一個註冊表實現來存儲數字簽名的元數據 反映有關項目的信息。 為了確保完整性和防止數據損壞,使用 Merkle 樹結構,其中每個分支通過聯合哈希(樹)驗證所有底層分支和節點。 通過最終哈希,用戶可以驗證整個操作歷史的正確性,以及數據庫過去狀態的正確性(數據庫新狀態的根校驗哈希是考慮過去狀態計算的)。 提供了用於檢查和添加新記錄的 RESTful API,以及命令行界面。
組件 富勒丘斯 (SigStore WebPKI)包括建立認證機構的系統 (根 CA)基於經過身份驗證的電子郵件通過 OpenID Connect 頒發短期證書。 證書的生命週期為 20 分鐘,在此期間,開發者必須有時間生成數字簽名(如果證書將來落入攻擊者手中,則它已經過期)。 還, 該項目開發了 Cosign 工具包 (容器簽名),旨在為容器生成簽名,驗證簽名並將簽名的容器放置在符合 OCI(開放容器倡議)的存儲庫中。
的簡介 Sigstore 允許增加軟件分發渠道的安全性 並防止針對庫和依賴替換(供應鏈)的攻擊。 開源軟件的關鍵安全問題之一是驗證程序來源和驗證構建過程的難度。
使用數字簽名進行版本驗證尚未普及 由於密鑰管理、公鑰分發和受損密鑰撤銷方面的困難。 為了使驗證有意義,還需要組織一個可靠且安全的過程來分發公鑰和校驗和。 即使使用數字簽名,許多用戶也會忽略驗證,因為學習驗證過程並了解哪個密鑰是可信的需要時間。
該項目是在 Google、Red Hat、Cisco、vmWare、GitHub 和 HP Enterprise 的非營利性 Linux 基金會的支持下開發的,OpenSSF(開源安全基金會)和普渡大學也參與其中。
最後,如果你有興趣能夠了解更多,可以查閱詳情 以下鏈接。