The GitHub Blog
·
您的软件(真正)来自哪里?
💡
原文英文,约1500词,阅读约需6分钟。
📝
内容提要
软件是一个神奇而复杂的东西,由源代码构建而成。构件的生命周期缺乏可见性,这是安全挑战的根源。数字签名和签名是确保软件构件可信的重要手段。Sigstore是一个开源项目,提供了X.509 CA和基于RFC 3161的证明服务。
🎯
关键要点
- 软件是由源代码构建而成,具有生命周期,但缺乏可见性。
- 软件构件的生命周期缺乏可见性是安全挑战的根源。
- 数字签名和签名是确保软件构件可信的重要手段。
- Sigstore是一个开源项目,提供X.509 CA和基于RFC 3161的证明服务。
- 通过生成文件的摘要,可以确保文件未被篡改。
- 软件签名是对软件构件的唯一性进行保证的方式。
- 操作系统通过强制要求签名来确保可执行软件的可信来源。
- 证明(attestation)是对软件构件的事实声明,需由可信实体创建。
- 来源证明(provenance attestation)是最重要的证明类型,涉及软件构件的来源和构建指令。
- SLSA项目提供了软件供应链安全的共同框架。
- 构建证明服务需要发行证书、确保证书不被滥用、签名和验证签名。
- Sigstore简化了软件签名的过程,使其透明且易于采用。
- Sigstore要求符合The Update Framework (TUF)的安全信任根。
- Sigstore可以创建不可篡改的记录,将构件与CI链接起来。
➡️
