Linux 基金會將推出代碼簽名及驗證服務
近日,Linux 基金會宣布將聯合紅帽、Google 和普渡大學推出免費的「sigstore」服務,讓開發者可以對開源軟件進行代碼簽名和驗證,以防止供應鏈攻擊(supply-chain attacks)。
正如最近的依賴混淆攻擊以及惡意拼寫的 NPM 包所證明的那樣,開源生態系統是供應鏈攻擊的常見目標。
為了進行這些攻擊,攻擊者會創建惡意的開源軟件包,并使用與知名的合法軟件包相似的名稱將其上傳到公共倉庫。如果開發人員錯誤地將惡意軟件包包含在自己的項目中,惡意代碼將在項目構建時自動執行。
為了防止這類攻擊,「sigstore」也就應運而生。sigstore 將會是一個免費使用的非盈利性軟件簽名服務,允許開發者對開源軟件進行簽名并驗證其真實性。
你可以把它想象成是用于代碼簽名的 Let's Encrypt。就像 Let's Encrypt 如何為 HTTPS 提供免費證書和自動化工具一樣,sigstore 同樣也提供免費證書和自動化工具,只不過是用于驗證源代碼的簽名。
Google 在博客中解釋道:“sigstore 還擁有透明度日志支持這一額外優勢,這意味著所有的證書和證明都是全局可見、可發現和可審計的"。
Sigstore 是基于 OpenID Connect 所授予的公共透明日志和為代碼簽名分配的特殊 Root CA 短期證書所構建的。
由于透明日志是公開的,因此開發者可以很容易地進行監控,并在發現問題時及時回滾。該項目目前處于開發的早期階段,但項目發起人也希望有更多開發者能夠參與該項目并提供及時反饋。
本文轉自OSCHINA
本文標題:Linux 基金會將推出代碼簽名及驗證服務
本文地址:https://www.oschina.net/news/132634/linux-foundation-unveils-a-encrypt-for-code-signing
