Sigstore dat wordt ondersteund door Google, Red Hat, GitHub en andere prominente organisaties met als doel de toeleveringsketen van open source-software te beveiligen, is algemeen beschikbaar en heeft de”v1.0″-releases voor hun belangrijkste softwarecomponenten uitgegeven.
Deze week vierde Sigstore zijn mijlpaal in algemene beschikbaarheid en de release van de v1.0-software van hun Rekor-transparantielogboek en Fulcio-certificaatautoriteitsoftware. Sigstore beschouwt zichzelf nu als productiekwaliteit voor het ondertekenen en verifiëren van softwareartefacten.
Sigstore biedt de mogelijkheid om eenvoudig en cryptografisch ondersteunde middelen te gebruiken voor het ondertekenen van code, het verifiëren van handtekeningen met behulp van een transparantielogboek en het bewaken van activiteiten voor het veilig doorlichten van de softwaretoeleveringsketen. Op de projectsite van sigstore.dev beschrijft Sigstore zichzelf als:
sigstore is een set tools-ontwikkelaars, software beheerders, pakketbeheerders en beveiligingsexperts kunnen hiervan profiteren. Door gratis te gebruiken open source-technologieën zoals Fulcio, Cosign en Rekor samen te brengen, zorgt het voor digitale ondertekening, verificatie en controles op herkomst die nodig zijn om het veiliger te maken om open source-software te distribueren en te gebruiken.
Een gestandaardiseerde aanpak
Dit betekent dat open source-software die is geüpload voor distributie een striktere, meer gestandaardiseerde manier heeft om te controleren wie erbij betrokken is geweest, en dat er niet mee is geknoeid. Er is geen risico op sleutelcompromissen, dus derden kunnen een release niet kapen en iets kwaadaardigs binnensluipen.
Degenen die deze week meer willen weten over de algemene beschikbaarheid van Sigstore, kunnen er meer informatie over lezen op de Google Open-Source Blog en Sigstore-blog.
