Linux Foundation、Red Hat、Google和Purdue最近免费推出“sigstore”代码签名服务使开发人员能够签名并验证开源代码,以防止供应链攻击。
就像最近的依赖混淆攻击和恶意一样NPM软件包显示,越来越多的供应链攻击开始瞄准开源生态系统。
攻击者将开发恶意开源程序包,并使用类似于流行法定程序包的名称将其上传到公共存储库。如果开发人员错误地将恶意软件包含在自己的项目中,恶意代码将在开发项目时自动执行。
Sigstore推出是为了防止这种攻击。“sigstore” *** 非营利性软件签名服务,允许开发人员签名并验证开源软件的真实性。
“您可以将Sigstore看作是类似Let's Encrypt的免费HTTPS证书和自动化工具,sigstore还提供自动化和验证源代码签名的免费证书和工具。”谷歌在博客中说:“Sigstore还支持透明日志,这意味着所有证书和证明都是全球可见、可发现和可审计的。”
Sigstore的构建基于OpenID Connect短期证书、公共透明日志和特殊代码签名分配Root CA证书。
参考资料:
https://security.googleblog.com/2021/03/introducing-sigstore-easy-code-signing.html
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章