Linux Foundation vil sikre software-forsyningskæden med nyt værktøj

6 kommentarer.  Hop til debatten
Linux Foundation
Illustration: The Linux Foundation via Wikipedia.
Linux Foundation og partnere er ved at udvikle en sikker måde, open source-udviklere kan underskrive software på. Man ønsker en mere sikker software-forsyningskæde i lyset af Solarwinds-skandalen.
Louise Olifent
10. marts 2021 kl. 10:32
errorÆldre end 30 dage
Louise Olifent
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Linux Foundation er i gang med at udvikle en ny kryptografisk software-signering, som udviklere kan bruge til at sikre open source-software.

Det skriver Zdnet.

Solarwinds-hacket har illustreret vigtigheden af at sikre sin forsyningskæde, og derfor tilbyder organisationen nu udviklere en måde, man sikkert kan signere software-artefakter som ‘release files’, ‘container’-billeder og binære filer. Underskriftsfilerne vil blive opbevaret i en sikker offentlig log.

Organisationen arbejder sammen med Google, Purdue University og Red Hat om projektet, man kalder Sigstore. Ifølge Luke Hinds, øverste sikkerhedsingeniør i CTO-kontoret hos Red Hat, vil løsningen bidrage til en mere sikker brug af open-source i fremtiden:

Artiklen fortsætter efter annoncen

Det vil give »alle open-source-fællesskaber mulighed for at underskrive deres egen software og kombinere herkomst, integritet og synlighed for at skabe en gennemsigtig og kontrollerbar software-forsyningskæde,« siger han til Zdnet.

Historisk har det været svært at få open source-udviklere til at bruge eksisterende underskriftsværktøjer, da de typisk har forvirrende UI’er og kræver, at man lærer grundlæggende kryptografiske koncepter, ifølge Matt Sicker, medlem af Apache Software Foundation og senior sikkerhedsingeniør hos CloudBees.

6 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
6
Klavs Klavsen
11. marts 2021 kl. 09:07

Det løser netop en masse på det - da jeg så kan vælge at build'e den samme pakke på et andet chipsæt/hardware - og får jeg præcist samme checksum på min build pakke (som det netop handler om det her reproducable builds) - så skal "angriberen" have hacket både MIN platform OG de andres på PRÆCIS SAMME MÅDE - for at det kunne ske.. eller også (langt mere sandsynligt :) - så er der ikke blevet ændret noget i build'et (via supply chain / cpu / compile hacks).

  • more_vert
    • insert_linkKopier link
4
Søren Koch
11. marts 2021 kl. 07:54

Det løser bare ikke et noget i tilfældet af et 'trusting trust' angreb.... (enten på compiler niveau eller mere sandsynligt på hardwareniveau). Hvem ved f.eks præcist hvad den der 'management engine x86 chip' (eller AMD's pendant) der sidder i hjørnet af alle moderne motherboards i dag egentlig gør...

  • more_vert
    • insert_linkKopier link
3
Klavs Klavsen
10. marts 2021 kl. 13:30

Det er der faktisk en masse arbejde på - kaldet "reproducable builds".. Debian projektet har faktisk i mange år, arbejdet på at hvis du rebuild'er deres pakke - så får du præcist samme checksums på binaries..

Og dermed kan man enten "rebuild'e" alle pakker automatisk hos sig selv (hvor ens build tools IKKE er blevet kompromiteret) - eller man kan tage stik-prøve rebuilds hvis man vil.

  • more_vert
    • insert_linkKopier link
2
Michael Cederberg
10. marts 2021 kl. 13:23

... jeg har stadigvæk ingen anelse om hvad der ligger til grund for den binary jeg har fået. Alt hvad jeg hfår ud af det er at den er signet på en ny måde. Hvis nogen hacker min bygge server og får bygge serveren til at injecte malware i output, så vil jeg ende med en fin signatur på min malware inficerede binary.

  • more_vert
    • insert_linkKopier link
1
Klavs Klavsen
10. marts 2021 kl. 12:19

Det er allerede understøttet i de fleste package repos.. Eller mener de noget "helt andet" ?

  • more_vert
    • insert_linkKopier link