Sigstore que é apoiado pelo Google, Red Hat, GitHub e outras organizações proeminentes com o objetivo de proteger a cadeia de fornecimento de software de código aberto alcançou a disponibilidade geral e lançou as versões”v1.0″para seus principais componentes de software.
Esta semana, a Sigstore comemorou seu marco de disponibilidade geral e lançou o software v1.0 de seu log de transparência Rekor e o software de autoridade de certificação Fulcio. A Sigstore agora se considera de nível de produção para assinatura e verificação de artefatos de software.
Sigstore fornece meios fáceis e criptográficos de assinatura de código, verificação de assinaturas usando um log de transparência e monitoramento de atividade para verificar com segurança a cadeia de fornecimento de software. No site do projeto sigstore.dev, a Sigstore se descreve como:
sigstore é um conjunto de desenvolvedores de ferramentas, software mantenedores, gerenciadores de pacotes e especialistas em segurança podem se beneficiar. Reunindo tecnologias de código aberto de uso gratuito como Fulcio, Cosign e Rekor, ele lida com assinatura digital, verificação e verificações de proveniência necessárias para tornar mais seguro distribuir e usar software de código aberto.
Uma abordagem padronizada
Isso significa que o software de código aberto enviado para distribuição tem uma maneira mais rígida e padronizada de verificar quem está envolvido, se não foi adulterado. Não há risco de comprometimento de chave, portanto, terceiros não podem sequestrar uma versão e inserir algo malicioso.
Aqueles que desejam saber mais sobre a disponibilidade geral da Sigstore esta semana podem ler mais informações sobre ela no Blog de código aberto do Google e Blog Sigstore.