Linux Foundation vil sikre software-forsyningskæden med nyt værktøj
Linux Foundation er i gang med at udvikle en ny kryptografisk software-signering, som udviklere kan bruge til at sikre open source-software.
Det skriver Zdnet.
Solarwinds-hacket har illustreret vigtigheden af at sikre sin forsyningskæde, og derfor tilbyder organisationen nu udviklere en måde, man sikkert kan signere software-artefakter som ‘release files’, ‘container’-billeder og binære filer. Underskriftsfilerne vil blive opbevaret i en sikker offentlig log.
Organisationen arbejder sammen med Google, Purdue University og Red Hat om projektet, man kalder Sigstore. Ifølge Luke Hinds, øverste sikkerhedsingeniør i CTO-kontoret hos Red Hat, vil løsningen bidrage til en mere sikker brug af open-source i fremtiden:
Det vil give »alle open-source-fællesskaber mulighed for at underskrive deres egen software og kombinere herkomst, integritet og synlighed for at skabe en gennemsigtig og kontrollerbar software-forsyningskæde,« siger han til Zdnet.
Historisk har det været svært at få open source-udviklere til at bruge eksisterende underskriftsværktøjer, da de typisk har forvirrende UI’er og kræver, at man lærer grundlæggende kryptografiske koncepter, ifølge Matt Sicker, medlem af Apache Software Foundation og senior sikkerhedsingeniør hos CloudBees.
