Linux Foundation vil sikre software-forsyningskæden med nyt værktøj

10. marts 2021 kl. 10:326
Linux Foundation
Illustration: The Linux Foundation via Wikipedia.
Linux Foundation og partnere er ved at udvikle en sikker måde, open source-udviklere kan underskrive software på. Man ønsker en mere sikker software-forsyningskæde i lyset af Solarwinds-skandalen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Linux Foundation er i gang med at udvikle en ny kryptografisk software-signering, som udviklere kan bruge til at sikre open source-software.

Det skriver Zdnet.

Solarwinds-hacket har illustreret vigtigheden af at sikre sin forsyningskæde, og derfor tilbyder organisationen nu udviklere en måde, man sikkert kan signere software-artefakter som ‘release files’, ‘container’-billeder og binære filer. Underskriftsfilerne vil blive opbevaret i en sikker offentlig log.

Artiklen fortsætter efter annoncen

Organisationen arbejder sammen med Google, Purdue University og Red Hat om projektet, man kalder Sigstore. Ifølge Luke Hinds, øverste sikkerhedsingeniør i CTO-kontoret hos Red Hat, vil løsningen bidrage til en mere sikker brug af open-source i fremtiden:

Det vil give »alle open-source-fællesskaber mulighed for at underskrive deres egen software og kombinere herkomst, integritet og synlighed for at skabe en gennemsigtig og kontrollerbar software-forsyningskæde,« siger han til Zdnet.

Historisk har det været svært at få open source-udviklere til at bruge eksisterende underskriftsværktøjer, da de typisk har forvirrende UI’er og kræver, at man lærer grundlæggende kryptografiske koncepter, ifølge Matt Sicker, medlem af Apache Software Foundation og senior sikkerhedsingeniør hos CloudBees.

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
11. marts 2021 kl. 09:07

Det løser netop en masse på det - da jeg så kan vælge at build'e den samme pakke på et andet chipsæt/hardware - og får jeg præcist samme checksum på min build pakke (som det netop handler om det her reproducable builds) - så skal "angriberen" have hacket både MIN platform OG de andres på PRÆCIS SAMME MÅDE - for at det kunne ske.. eller også (langt mere sandsynligt :) - så er der ikke blevet ændret noget i build'et (via supply chain / cpu / compile hacks).

4
11. marts 2021 kl. 07:54

Det løser bare ikke et noget i tilfældet af et 'trusting trust' angreb.... (enten på compiler niveau eller mere sandsynligt på hardwareniveau). Hvem ved f.eks præcist hvad den der 'management engine x86 chip' (eller AMD's pendant) der sidder i hjørnet af alle moderne motherboards i dag egentlig gør...

3
10. marts 2021 kl. 13:30

Det er der faktisk en masse arbejde på - kaldet "reproducable builds".. Debian projektet har faktisk i mange år, arbejdet på at hvis du rebuild'er deres pakke - så får du præcist samme checksums på binaries..

Og dermed kan man enten "rebuild'e" alle pakker automatisk hos sig selv (hvor ens build tools IKKE er blevet kompromiteret) - eller man kan tage stik-prøve rebuilds hvis man vil.

2
10. marts 2021 kl. 13:23

... jeg har stadigvæk ingen anelse om hvad der ligger til grund for den binary jeg har fået. Alt hvad jeg hfår ud af det er at den er signet på en ny måde. Hvis nogen hacker min bygge server og får bygge serveren til at injecte malware i output, så vil jeg ende med en fin signatur på min malware inficerede binary.

1
10. marts 2021 kl. 12:19

Det er allerede understøttet i de fleste package repos.. Eller mener de noget "helt andet" ?