Linux Foundation、Red Hat、Google和Purdue近日推出了免費(fèi)的“sigstore”代碼簽名服務(wù)，該服務(wù)使開(kāi)發(fā)人員可以對(duì)開(kāi)放源代碼進(jìn)行代碼簽名和驗(yàn)證，以防止供應(yīng)鏈攻擊。

正如最近的依賴關(guān)系混淆攻擊和惡意NPM軟件包所展示的，越來(lái)越多的供應(yīng)鏈攻擊開(kāi)始瞄準(zhǔn)開(kāi)源生態(tài)系統(tǒng)。

[[387292]]

攻擊者將開(kāi)發(fā)惡意開(kāi)源程序包，并使用與流行的合法程序包相似的名稱將其上傳到公共存儲(chǔ)庫(kù)。如果開(kāi)發(fā)人員錯(cuò)誤地將惡意軟件包包含在自己的項(xiàng)目中，則在開(kāi)發(fā)項(xiàng)目時(shí)將自動(dòng)執(zhí)行惡意代碼。

Sigstore的推出，就是為了防止此類(lèi)型的攻擊。“sigstore”是一種免費(fèi)使用的非盈利性軟件簽名服務(wù)，允許開(kāi)發(fā)人員對(duì)開(kāi)源軟件進(jìn)行簽名并驗(yàn)證其真實(shí)性。

“您可以將Sigstore看作是類(lèi)似Let's Encrypt的免費(fèi)HTTPS證書(shū)和自動(dòng)化工具，sigstore也提供免費(fèi)的證書(shū)和工具來(lái)自動(dòng)化和驗(yàn)證源代碼的簽名。”谷歌在博客中介紹說(shuō)：“Sigstore還支持透明日志，這意味著所有證書(shū)和證明都是全球可見(jiàn)、可發(fā)現(xiàn)和可審計(jì)的。”

Sigstore的構(gòu)建基于OpenID Connect短期證書(shū)、公共透明日志和為代碼簽名分配的特殊Root CA證書(shū)。

參考資料：

https://security.googleblog.com/2021/03/introducing-sigstore-easy-code-signing.html

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文