受SolarWinds供应链攻击的影响，研究人员意识到保护软件供应链安全不受到非授权修改的重要性。

2月，Linux基金会与Red Hat、谷歌、普渡大学的研究人员创建了一个新的开源项目——sigstore project，来改善开源软件的安全。

Sigstore概述

Sigstore是一个Linux基金会项目，目标是通过提供公共、非盈利的服务来改善开源软件供应链的安全，具体方式是通过加密软件签名和透明日志技术的应用。

Sigstore开源让软件开发者安全地对软件相关信息进行签名，比如发布文件、容器镜像、二进制文件等。然后签名的材料会保存到不可修改的公开日志中。

Sigstore将对所有开发者和软件提供商免费，sigstore的代码和操作工具将100% 开源，并由sigstore社区开发和维护。

Sigstore详情

用户使用sigstore 客户端工具来生成临时的短期密钥对。然后，sigstore PKI服务会提供一个基于成功的OpenID connect 授权生成的签名证书。所有的证书都将记录到证书透明日志中，软件签名材料将会发送给签名透明日志。透明日志的使用对用户OpenID 账户引入了可信基。然后，就可以确保用户在签名时是由身份服务提供商账户控制的。签名操作完成后，密钥将被丢弃，根据未来密钥管理的需求进行移除、取消或循环。

用户通过使用OpenID connect身份可以利用现有安全控制措施的优势，比如2FA、OTP、硬件token生成器。

Sigstore的透明账本是作为出处、完整性和可发现性的源。由于是公开和开放的，任何人都可以监控sigtore 的透明账本，执行查询，返回特定邮件地址的签名记录，公钥等等。此外，安全研究人员也可以通过监控日志来识别出可能的恶意模式和有问题的行为。

Sigtore project的当前状态

目前版本的透明日志叫做rekor。Rekor含有一个服务器和客户但工具来生成记录和查询。目前，Rekor有可定制的模式框架和可插拔的PKI框架。

目前，WebPKI 和客户端签名工具还处于原型系统开发阶段，尚未开放使用。

Rekor可插拔的PKI框架支持以下签名：

· GPG

· X509

· Minisign

可以对什么内容进行签名？

目前阶段主要针对通用的发布相关文件，比如tarballs、编译的二进制文件、容器镜像等。之后，会探索jars等格式。

是否存在隐私问题？

否。唯一请求的个人数据是由OpenID Connect提供的，sigstore 只保存用户邮件地址，并不会访问联系人、邮件内容、云设备、日历等其他内容。sigstore 只是需要一种将签名事件和访问身份提供商账户的用户进行映射。

更多参见项目地址：https://sigstore.dev/

本文翻译自：https://sigstore.dev/what_is_sigstore/如若转载，请注明原文地址：