Sigstore wspierany przez Google, Red Hat, GitHub i inne znane organizacje, których celem jest zabezpieczenie łańcucha dostaw oprogramowania typu open source, osiągnął ogólną dostępność i wydał wersje „v1.0” dla swoich kluczowych komponentów oprogramowania.
W tym tygodniu firma Sigstore świętowała swój kamień milowy w zakresie ogólnej dostępności i wypuściła oprogramowanie v1.0 w swoim dzienniku przejrzystości Rekor i oprogramowaniu urzędu certyfikacji Fulcio. Sigstore uważa się teraz za produkt klasy produkcyjnej do podpisywania i weryfikacji artefaktów oprogramowania.
Sigstore zapewnia środki do łatwego i kryptograficznego podpisywania kodu, weryfikowania podpisów za pomocą dziennika przejrzystości oraz monitorowania aktywności w celu bezpiecznej weryfikacji łańcucha dostaw oprogramowania. Na stronie projektu sigstore.dev Sigstore opisuje się jako:
sigstore to zestaw narzędzi programistów, oprogramowania mogą skorzystać opiekunowie, menedżerowie pakietów i eksperci ds. bezpieczeństwa. Łącząc bezpłatne technologie open source, takie jak Fulcio, Cosign i Rekor, obsługuje podpisywanie cyfrowe, weryfikację i sprawdzanie pochodzenia potrzebne do zwiększenia bezpieczeństwa dystrybucji i korzystania z oprogramowania open source.
Znormalizowane podejście
Oznacza to, że oprogramowanie open source przesłane do dystrybucji ma bardziej rygorystyczny, bardziej ustandaryzowany sposób sprawdzania, kto był zaangażowany, i czy nie zostało naruszone. Nie ma ryzyka złamania klucza, więc osoby trzecie nie mogą przejąć wydania i wślizgnąć się w coś złośliwego.
Ci, którzy chcą dowiedzieć się więcej o ogólnej dostępności Sigstore w tym tygodniu, mogą przeczytać więcej informacji na ten temat na blogu Google Open-Source oraz Blog Sigstore.
