乐趣区

关于安全:CSO视角Sigstore如何保障软件供应链安全

本文作者

Chris Hughes,Aquia 的联结创始人及 CISO,领有近 20 年的网络安全教训。

SolarWinds 和 Log4j 等影响宽泛的软件供应链攻打事件引起了业界对软件供应链平安的关注。许多企业开始让平安团队选型平安工具,以确保第三方软件的安全性。软件的应用无处不在,依据世界经济论坛(WEF)的数据,数字化平台占据了 GDP 的 60%。只管咱们以后应用软件的形式正在扭转世界,但目前仍旧欠缺办法来爱护整个软件供应链的平安。软件供应链通常不应用数字签名,或者应用传统的数字签名,这对于自动化和审计来说是一个挑战。

Sigstore 是什么?

Sigstore 网站:https://www.sigstore.dev/

恰如 Sigstore 的共创者和 Chainguard 的创始人 Dan Lorenc 所说,sigstore 是“一个为软件开发者提供的收费签名服务,通过启用由通明日志(Transparent Log)技术支持的加密软件签名来进步软件供应链的安全性。”

Sigstore 曾经被谁采纳了?

Kubernetes 发表它正在对 sigstore 进行标准化,并在 1.24 版本中应用它。此外,Linux 基金会和 OpenSSF 最近公布了“开源软件平安动员打算”,强调数字签名以加强软件供应链的信赖,举荐的办法包含应用 sigstore 我的项目,因为它蕴含要害组件,例如证书受权、通明日志(Transparent Log)和生态系统专用库。

拆解 Sigstore 我的项目

Sigstore 的成立是为了帮忙解决开源软件(OSS)供应链中的一些现有缺点,以及咱们如何解决安全性、数字签名和验证开源软件组件的真实性。这一点至关重要,因为 90% 的 IT 企业都在应用开源软件,并且各个组织都在优先聘用开源人才,而软件供应链攻打事件在近几年层出不穷。

Sigstore 会集了几个开源软件工具,如 Fulcio、Cosign 和 Rekor,以帮助进行数字签名、验证和代码起源(Code Provenance)查看。Code Provenance 能够监管整条供应链,显示代码的起源和从何处集成。Uber 隐衷和平安团队曾发表一篇博客,探讨了他们解决 Code Provenance 的门路,请查阅:

https://medium.com/uber-secur…

接下来,咱们开始拆解 Sigstore 的外围组件,首先从 Fulcio 开始。Fulcio 是根证书颁发机构,次要关注代码签名。它是收费的并且颁发与 OpeID Connect (OIDC) 相干的证书,而且常常应用开发人员曾经关联的现有标识符。随着云原生架构及容器部署的遍及和快速增长,对容器进行签名曾经成为重要的平安最佳实际。

密钥治理是一项非常繁琐的工作,通常由云服务提供商(CSP)或第三方提供治理服务。Sigstore 通过反对 Cosign 升高了这种复杂性——通过长期密钥应用“无密钥签名”缓解了密钥治理的挑战。只管应用的是长期密钥,但你依然能够通过 Fulcio 的工夫戳性能保障签名的有效性。

这就是 Cosign 的用武之地,因为它反对签名选项(signing option),并能无缝反对生成密钥对和容器签名工件,以存储在容器镜像仓库中。这使云原生环境可能依据公钥验证容器,并且确保容器由可信的起源签订。在构建期间对镜像工件进行数字签名并验证这些签名是否可信,这是 CNCF 在云原生平安白皮书中强调的其中一个平安最佳实际。

接下来是 Rekor,它是作为软件维护和构建流动的一部分而创立的不可变和防篡改的组件。它使得购买或将软件集成到开发流程中的开发人员能够查看元数据,并他们对正在应用的软件和整个生命周期中波及的流动 / 行为都已充沛理解,进而能够依据所理解的信息、危险做出决定。回到咱们之前提到的关于软件起源的观点,开发者能够应用 Rekor 通过通明日志来理解软件起源。

另一个值得关注的是一些最近公布的平安指南,如软件构件的供应链级别(SLSA)和 NIST 的平安软件开发框架(SSDF)、SLSA 3 级强调须要审计软件起源的安全性,Sigstore 也反对这一性能。SSDF 中提到的具体做法也表明须要提供起源和验证机制。借助 Sigstore,你能够让你所在的组织与最佳实际保持一致,并升高软件供应链的平安危险。

Sigstore 将来如何倒退?

目前,Sigstore 我的项目仍处于初级阶段,但随着 Kubernetes 等当先开源软件我的项目及 Linux 基金会和 OpenSSF 的开源软件平安动员打算对它的认可,将来看起来一片光明。

随着开源软件的被越来越多企业采纳和业界推动软件供应链的实际,Sigstore 将会在整个生态系统中施展重要作用,如数字签名、真实性和安全性等要害畛域。要控制软件供应链中的平安危险,就须要企业做出理智的决定,而把握软件产品的起源以及软件创立和散发的细节至关重要,这就是 Sigstore 的劣势所在,并且很有可能在不远的未来 Sigstore 会被业界大规模采纳。

退出移动版