近日，Linux 基金會(huì)宣布將聯(lián)合紅帽、Google 和普渡大學(xué)推出免費(fèi)的「sigstore」服務(wù)，讓開發(fā)者可以對(duì)開源軟件進(jìn)行代碼簽名和驗(yàn)證，以防止供應(yīng)鏈攻擊(supply-chain attacks)。

正如最近的依賴混淆攻擊以及惡意拼寫的 NPM 包所證明的那樣，開源生態(tài)系統(tǒng)是供應(yīng)鏈攻擊的常見目標(biāo)。

為了進(jìn)行這些攻擊，攻擊者會(huì)創(chuàng)建惡意的開源軟件包，并使用與知名的合法軟件包相似的名稱將其上傳到公共倉(cāng)庫(kù)。如果開發(fā)人員錯(cuò)誤地將惡意軟件包包含在自己的項(xiàng)目中，惡意代碼將在項(xiàng)目構(gòu)建時(shí)自動(dòng)執(zhí)行。

[[386913]]

為了防止這類攻擊，「sigstore」也就應(yīng)運(yùn)而生。sigstore 將會(huì)是一個(gè)免費(fèi)使用的非盈利性軟件簽名服務(wù)，允許開發(fā)者對(duì)開源軟件進(jìn)行簽名并驗(yàn)證其真實(shí)性。

你可以把它想象成是用于代碼簽名的 Let's Encrypt。就像 Let's Encrypt 如何為 HTTPS 提供免費(fèi)證書和自動(dòng)化工具一樣，sigstore 同樣也提供免費(fèi)證書和自動(dòng)化工具，只不過(guò)是用于驗(yàn)證源代碼的簽名。

Google 在博客中解釋道：“sigstore 還擁有透明度日志支持這一額外優(yōu)勢(shì)，這意味著所有的證書和證明都是全局可見、可發(fā)現(xiàn)和可審計(jì)的"。

Sigstore 是基于 OpenID Connect 所授予的公共透明日志和為代碼簽名分配的特殊 Root CA 短期證書所構(gòu)建的。

由于透明日志是公開的，因此開發(fā)者可以很容易地進(jìn)行監(jiān)控，并在發(fā)現(xiàn)問(wèn)題時(shí)及時(shí)回滾。該項(xiàng)目目前處于開發(fā)的早期階段，但項(xiàng)目發(fā)起人也希望有更多開發(fā)者能夠參與該項(xiàng)目并提供及時(shí)反饋。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Linux 基金會(huì)將推出代碼簽名及驗(yàn)證服務(wù)

本文地址：https://www.oschina.net/news/132634/linux-foundation-unveils-a-encrypt-for-code-signing