Linux基金会、RedHat、Google和Purdue最近推出了免费的“sigstore”代码签名服务,使开发人员能够对开源代码进行代码签名和验证,以防止供应链攻击。正如最近的依赖混淆攻击和恶意NPM包所证明的那样,供应链攻击越来越多地针对开源生态系统。攻击者会开发恶意的开源包,并将它们上传到与流行的合法包名称相似的公共存储库。如果开发者错误地将恶意包包含在项目中,恶意代码将在项目开发过程中自动执行。Sigstore就是为了防止这种类型的攻击而推出的。“sigstore”是一种免费使用的非营利性软件签名服务,允许开发人员签署开源软件并验证其真实性。“您可以将Sigstore视为类似于Let'sEncrypt的免费HTTPS证书和自动化工具。sigstore还提供免费证书和工具来自动化和验证源代码的签名。”谷歌在博客中表示:“Sigstore还支持透明日志,这意味着所有证书和证明都是全局可见、可发现和可审计的。”Sigstore建立在OpenIDConnect短期证书、公共透明日志和分配给代码签名的特殊根CA证书之上。参考:https://security.googleblog.com/2021/03/introducing-sigstore-easy-code-signing.html【本文为专栏作者“安全牛”原创文章,转载请通过安全牛(微信)id:gooann-sectv)获取授权】点此阅读本作者更多好文
