致力于推進(jìn)開(kāi)源創(chuàng)新的Linux基金會(huì)，剛剛發(fā)表了以便利加密軟件簽名、提高軟件供應(yīng)鏈安全性為目標(biāo)的新服務(wù)。BetaNews報(bào)道稱(chēng)為sigstore的輔助，軟件開(kāi)發(fā)者可以簡(jiǎn)單地簽署文件、容器圖像、二進(jìn)制文件等軟件工件。

(輸送門(mén):Sigstore.dev

通過(guò)將簽名材料存儲(chǔ)在防篡改的公共日志中，Linux基金希望sigstore簽名服務(wù)在開(kāi)源軟件開(kāi)發(fā)領(lǐng)域普及。目前的項(xiàng)目創(chuàng)始人包括紅帽子、谷歌和普渡大學(xué)。

紅帽首席技術(shù)人員辦公室安全工程負(fù)責(zé)人LukeHinds表示:

sigstore的目的是全面復(fù)蓋凱源代碼社區(qū)，開(kāi)發(fā)人員可以輕松地為軟件提供簽名。結(jié)合來(lái)源、完整性和可發(fā)現(xiàn)性，有助于創(chuàng)造透明可審查的軟件供應(yīng)鏈。

在 Linux 基金會(huì)的主持合作下，我們可以加快 sigstore 的相關(guān)工作，以促進(jìn)開(kāi)源軟件的開(kāi)發(fā)、采用和行業(yè)影響力。

此前很少有開(kāi)源項(xiàng)目使用加密簽名手段，主要原因是軟件維護(hù)人員在密鑰管理、撤銷(xiāo)和公鑰分配等工作方面遇到了一定的挑戰(zhàn)。

在此基礎(chǔ)上，很多用戶(hù)只能努力尋找可靠的鑰匙，自己學(xué)習(xí)簽名所需的步驟，更不用說(shuō)鑰匙的分發(fā)方其他問(wèn)題了。

這些公鑰通常存儲(chǔ)在容易受到黑客攻擊的網(wǎng)站上，也存儲(chǔ)在公共git存儲(chǔ)庫(kù)的自述(README)文<愛(ài)尬聊_百科全書(shū)>件中。

但隨著sigstore公共服務(wù)的推出，我們可以使用臨時(shí)鑰匙和信賴(lài)根來(lái)回避上述問(wèn)題(后者來(lái)自開(kāi)放可審查的公共透明日志)。

最后，谷歌開(kāi)源安全隊(duì)的DanLorenc表示，sigstore目的是驗(yàn)證所有版本的開(kāi)源軟件，讓客戶(hù)輕松實(shí)際驗(yàn)證，希望未來(lái)的過(guò)程更加簡(jiǎn)單。