Linux Foundation, Google, Red Hat та Університет Пердью представили новий сервіс для криптографічних підписів — Sigstore. Ним можуть скористатись розробники, щоб захистити свої проєкти з відкритим кодом.
Криптографічний підпис пов'язується з певним цифровим артефактом — файлами релізів, контейнерними образами й бінарними файлами. Тоді користувачі ПЗ можуть перевірити підпис коду та переконатися, що цей реліз справжній і його ніхто не змінював.
Sigstore розробили як безкоштовний і некомерційний сервіс. Інженер з команди Google каже, що багато у чому це схоже на підхід Apple і Microsoft до підписання коду. Розробники намагались поєднати це із методом Let's Encrypt, який спрацьовує автоматично і надає ключі з коротким терміном дії.
Для прикладу можна уявити розробника, який створює застосунок у Node.js і хоче опублікувати його в реєстрі npm. Потрібно запустити команду для підпису застосунку, тоді відкриється браузер і можна завершити процес автентифікації OpenID Connect (OIDC) та двофакторну перевірку — щоб отримати авторизаційний токен. Сертифікат автоматично видається на електронну пошту, прив'язану до OIDC, а тоді завантажується в npm.
Ще немає коментарів