De Linux Foundation heeft gratis dienst sigstore gelanceerd waarmee opensource-ontwikkelaars software cryptografisch kunnen ondertekenen. Zo verzekeren ze andere gebruikers ervan dat de software legitiem is.
Voor het project werkt de Linux Foundation samen met Google en Red Hat. Dankzij de dienst kunnen leden van de opensource community hun software-onderdelen ondertekenen, zoals bestanden, container afbeeldingen en binaire code, voordat deze elementen worden opgeslagen in een openbaar log.
Eén van de grootste problemen met opensource software is dat het moeilijk is om vast te stellen waar de software vandaan kwam en hoe het gebouwd is. Met dit project wil de Linux Foundation het makkelijker maken voor ontwikkelaars om hun uitgaven te ondertekenen. Gebruikers krijgen zo meer inzicht in waar software vandaan komt. Dat is nodig nu supply chain aanvallen via opensource software steeds vaker voorkomen.
“Opensource software installeren is vandaag de dag vergelijkbaar met een random USB-stick van de stoep pakken en deze in je computer steken”, zegt Google productmanager Kim Lewandowski. “Om dat aan te pakken, moeten we het mogelijk maken om de herkomst van alle software te bevestigen, ook die van opensource-pakketten”, gaat Lewandowski verder.
Hoe werkt sigstore?
“Je kunt het zien als Let’s Encrypt, maar dan voor het ondertekenen van code. Net als hoe Let’s Encrypt gratis certificaten en automatiseringstools voor HTTPS biedt, levert sigstore gratis certificaten en tools om handtekeningen te automatiseren en toe te voegen aan code”, legt Lewandowski uit.
Sigstore maakt gebruikt van kortstondige certificaten gebaseerd op OpenID Connect. De technologie slaat alle activiteit op in logs die worden ondersteund door de Trillian management software. Zo kan het team controleren of de techniek wordt gesaboteerd en meteen actie ondernemen.
Perfect voorbeeld van hoe de opensource community werkt
“Ik ben erg enthousiast over sigstore en wat het betekent voor het verbeteren van de beveiliging van software-toeleveringsketens”, zegt Luke Hinds, een van de voornaamste ontwikkelaars die meewerkt aan sigstore. “Sigstore is een uitstekend voorbeeld van een opensource community die samenkomt en samen een oplossing ontwikkelt om software signing op een transparante manier mogelijk te maken”, vindt Hinds.
De komende tijd werkt het team achter het sigstore project aan verdere verbeteringen. Het team wil onder andere het systeem sterker maken, ondersteuning toevoegen voor andere OpenID Connect-providers en de documentatie updaten.