近日,Linux基金会宣布将与红帽、谷歌和普渡大学联合推出免费的“sigstore”服务,允许开发者对开源软件进行代码签名和验证。防止供应链攻击(supply-chainattacks)。开源生态系统是供应链攻击的常见目标,最近的依赖混淆攻击和恶意拼写的NPM包就是证明。为执行这些攻击,攻击者创建恶意开源包并将其上传到公共存储库,其名称与众所周知的合法包相似。如果开发者错误地将恶意包包含在他们的项目中,恶意代码将在项目构建时自动执行。为了防止此类攻击,“sigstore”应运而生。sigstore将是一项免费使用的非盈利软件签名服务,允许开发人员签署开源软件并验证其真实性。您可以将其视为用于代码签名的Let'sEncrypt。就像Let'sEncrypt为HTTPS提供免费证书和自动化工具一样,sigstore也提供免费证书和自动化工具,但仅用于验证源代码的签名。“sigstore还具有透明日志支持的额外好处,这意味着所有证书和证明都是全局可见、可发现和可审核的,”谷歌在一篇博客文章中解释道。Sigstore建立在OpenIDConnect授予的公共透明日志和分配给代码签名的特殊RootCA短期证书之上。由于透明日志是公开的,开发者可以轻松监控,发现问题及时回滚。该项目目前处于早期开发阶段,但项目发起人也希望能够有更多的开发者参与到项目中来,及时反馈。本文转自OSCHINA文章标题:Linux基金会将推出代码签名和验证服务
