Linux Foundation、Red Hat、Google和Purdue近日推出了免費的“sigstore”代碼簽名服務，該服務使開發(fā)人員可以對開放源代碼進行代碼簽名和驗證，以防止供應鏈攻擊。

正如最近的依賴關系混淆攻擊和惡意NPM軟件包所展示的，越來越多的供應鏈攻擊開始瞄準開源生態(tài)系統(tǒng)。

[[387292]]

攻擊者將開發(fā)惡意開源程序包，并使用與流行的合法程序包相似的名稱將其上傳到公共存儲庫。如果開發(fā)人員錯誤地將惡意軟件包包含在自己的項目中，則在開發(fā)項目時將自動執(zhí)行惡意代碼。

Sigstore的推出，就是為了防止此類型的攻擊。“sigstore”是一種免費使用的非盈利性軟件簽名服務，允許開發(fā)人員對開源軟件進行簽名并驗證其真實性。

“您可以將Sigstore看作是類似Let's Encrypt的免費HTTPS證書和自動化工具，sigstore也提供免費的證書和工具來自動化和驗證源代碼的簽名。”谷歌在博客中介紹說：“Sigstore還支持透明日志，這意味著所有證書和證明都是全球可見、可發(fā)現(xiàn)和可審計的。”

Sigstore的構(gòu)建基于OpenID Connect短期證書、公共透明日志和為代碼簽名分配的特殊Root CA證書。

參考資料：

https://security.googleblog.com/2021/03/introducing-sigstore-easy-code-signing.html

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文