Sigstore qui est soutenu par Google, Red Hat, GitHub et d’autres organisations de premier plan dans le but de sécuriser la chaîne d’approvisionnement des logiciels open source a atteint la disponibilité générale et a publié les versions”v1.0″pour leurs composants logiciels clés.
Cette semaine, Sigstore a célébré son jalon de disponibilité générale et la sortie du logiciel v1.0 de son journal de transparence Rekor et du logiciel d’autorité de certification Fulcio. Sigstore se considère désormais comme un outil de production pour la signature et la vérification d’artefacts logiciels.
Sigstore fournit les moyens de signer facilement et de manière cryptographique le code, de vérifier les signatures à l’aide d’un journal de transparence et de surveiller l’activité pour vérifier en toute sécurité la chaîne d’approvisionnement des logiciels. Sur le site du projet de sigstore.dev, Sigstore se décrit comme :
sigstore est un ensemble d’outils de développeurs, de logiciels les mainteneurs, les gestionnaires de paquets et les experts en sécurité peuvent en bénéficier. Réunissant des technologies open source gratuites comme Fulcio, Cosign et Rekor, il gère la signature numérique, la vérification et les contrôles de provenance nécessaires pour rendre plus sûr la distribution et l’utilisation de logiciels open source.
Une approche standardisée
Cela signifie que les logiciels open source téléchargés pour la distribution ont une manière plus stricte et plus standardisée de vérifier qui a été impliqué, qu’il n’a pas été falsifié. Il n’y a aucun risque de compromission de clé, de sorte que des tiers ne peuvent pas détourner une version et y glisser quelque chose de malveillant.
Ceux qui souhaitent en savoir plus sur la disponibilité générale de Sigstore cette semaine peuvent lire plus d’informations à ce sujet sur le blog Google Open Source et Blog Sigstore.