Linux基金会宣布免费sigstore签名服务，以确认软件的来源和真实性

Linux 基金会，一个通过开源实现大规模创新的非营利组织，今天宣布了sigstore 项目。sigstore 通过简化采用透明日志技术支持的加密软件签名，提高了软件供应链的安全性。

sigstore 将使软件开发人员能够安全地签署软件构件，如发布文件、容器镜像和二进制文件。签名材料然后存储在防篡改的公共日志中。所有开发人员和软件提供商都可以免费使用该服务，sigstore 代码和由 sigstore 社区开发的操作工具也可以免费使用。创始成员包括 Red Hat、谷歌和普渡大学。

“sigstore 使所有开源社区能够签署他们的软件，并结合了来源、完整性和可发现性，以创建一个透明和可审计的软件供应链。”Red Hat 首席技术官办公室安全工程主管 Luke Hinds 表示：“通过在 Linux 基金会托管这次合作，我们可以加速我们在 sigstore 的工作，并支持开源软件和开发的持续采用和影响。”

理解和确认软件的起源和真实性依赖于一组经常不同的方法和数据格式。现有的解决方案通常依赖于存储在不安全系统上的摘要，这些系统容易被篡改，并可能导致各种攻击，如交换摘要或用户成为有针对性的攻击的牺牲品。

“确保软件部署的安全应该从确保我们正在运行我们认为我们正在运行的软件开始。Sigstore 代表了一个为开源软件供应链带来更多信心和透明度的大好机会，”ISRG | Let’s Encrypt 执行董事 Josh Aas 说。

很少有开源项目采用加密方式对软件发布工件进行签名。这在很大程度上是由于软件维护者在密钥管理、密钥泄漏/撤销以及公钥和工件摘要的分发方面所面临的挑战。反过来，用户需要寻找值得信任的密钥，并了解验证签名所需的步骤。进一步的问题在于摘要和公钥的分发方式，它们通常存储在容易受到黑客攻击的网站上，或者存储在公共 git 仓库中的 README 文件中。sigstore 试图通过使用短期的短暂密钥和信任根来解决这些问题，这些信任根来自一个开放的、可审计的公开透明日志。

“我对像 sigstore 这样的系统的前景感到非常兴奋。软件生态系统迫切需要像这样的东西来报告供应链的状态。我设想，在 sigstore 回答了所有关于软件来源和所有权的问题之后，我们可以开始询问关于软件目的地、用户、遵从性（合法的和其他的）的问题，以识别犯罪网络并保护关键软件基础设施。这将为软件供应链安全对话定下新的基调，”普渡大学电气与计算机工程助理教授 Santiago Torres-Arias 说。

“sigstore 已准备好推动开源开发的最新进展。”Linux 基金会高级副总裁兼项目总经理 Mike Dolan 说：“我们很乐意托管和贡献工作，使软件维护者和消费者更容易地管理他们的开源软件和安全性。”

“sigstore 的目标是使开源软件的所有版本都可验证，并且使用户能够很容易地实际验证它们。我希望我们可以像退出 vim 一样让这变得简单，”谷歌开源安全团队 Dan Lorenc 说。“在公开场合看着这一切成形很有趣。看到 sigstore 有一个稳定的家庭真是太好了。”