Linux Foundation vil sikre software-forsyningskæden med nyt værktøj

Organisationen udvikler et nyt værktøj til at underskrive open-source-software. Illustration: The Linux Foundation via Wikipedia
Linux Foundation og partnere er ved at udvikle en sikker måde, open source-udviklere kan underskrive software på. Man ønsker en mere sikker software-forsyningskæde i lyset af Solarwinds-skandalen.

Linux Foundation er i gang med at udvikle en ny kryptografisk software-signering, som udviklere kan bruge til at sikre open source-software.

Det skriver Zdnet.

Solarwinds-hacket har illustreret vigtigheden af at sikre sin forsyningskæde, og derfor tilbyder organisationen nu udviklere en måde, man sikkert kan signere software-artefakter som ‘release files’, ‘container’-billeder og binære filer. Underskriftsfilerne vil blive opbevaret i en sikker offentlig log.

Læs også: White hat angreb Apple og Paypal: Derfor er kodebiblioteker en reel fare

Organisationen arbejder sammen med Google, Purdue University og Red Hat om projektet, man kalder Sigstore. Ifølge Luke Hinds, øverste sikkerhedsingeniør i CTO-kontoret hos Red Hat, vil løsningen bidrage til en mere sikker brug af open-source i fremtiden:

Det vil give »alle open-source-fællesskaber mulighed for at underskrive deres egen software og kombinere herkomst, integritet og synlighed for at skabe en gennemsigtig og kontrollerbar software-forsyningskæde,« siger han til Zdnet.

Historisk har det været svært at få open source-udviklere til at bruge eksisterende underskriftsværktøjer, da de typisk har forvirrende UI’er og kræver, at man lærer grundlæggende kryptografiske koncepter, ifølge Matt Sicker, medlem af Apache Software Foundation og senior sikkerhedsingeniør hos CloudBees.

Læs også: Kommuner fravælger open-source sikkerhedsløsning mod keylogger-angreb

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Michael Cederberg

... jeg har stadigvæk ingen anelse om hvad der ligger til grund for den binary jeg har fået. Alt hvad jeg hfår ud af det er at den er signet på en ny måde. Hvis nogen hacker min bygge server og får bygge serveren til at injecte malware i output, så vil jeg ende med en fin signatur på min malware inficerede binary.

  • 1
  • 0
#3 Klavs Klavsen

Det er der faktisk en masse arbejde på - kaldet "reproducable builds".. Debian projektet har faktisk i mange år, arbejdet på at hvis du rebuild'er deres pakke - så får du præcist samme checksums på binaries..

Og dermed kan man enten "rebuild'e" alle pakker automatisk hos sig selv (hvor ens build tools IKKE er blevet kompromiteret) - eller man kan tage stik-prøve rebuilds hvis man vil.

  • 3
  • 0
#4 Søren Koch

Det løser bare ikke et noget i tilfældet af et 'trusting trust' angreb.... (enten på compiler niveau eller mere sandsynligt på hardwareniveau). Hvem ved f.eks præcist hvad den der 'management engine x86 chip' (eller AMD's pendant) der sidder i hjørnet af alle moderne motherboards i dag egentlig gør...

  • 1
  • 0
#6 Klavs Klavsen

Det løser netop en masse på det - da jeg så kan vælge at build'e den samme pakke på et andet chipsæt/hardware - og får jeg præcist samme checksum på min build pakke (som det netop handler om det her reproducable builds) - så skal "angriberen" have hacket både MIN platform OG de andres på PRÆCIS SAMME MÅDE - for at det kunne ske.. eller også (langt mere sandsynligt :) - så er der ikke blevet ændret noget i build'et (via supply chain / cpu / compile hacks).

  • 1
  • 0
Log ind eller Opret konto for at kommentere