背景
SolarWinds Orion 软件更新包在2020年底被黑客植入后门,此次攻击事件波及范围极大,包括美国政府部门、关键基础设施以及多家全球500强企业,影响难以估计。如果用户能确认软件来源是可信的 SolarWinds 官方,这次事件可能可以避免。
为了确认软件的来源和构建方式,实现完整性保护,Linux基金会联合Red Hat、Google 和 Purdue 在 2021年3月推出了 Sigstore 代码签名项目,该项目致力于让开发人员签署发布时无感和让用户轻松验证。
Sigstore 在发布后快速发展,多个社区将 Sigstore 加入集成计划。2021年11月,Sigstore 加入了 OpenSSF(开源安全基金会),并且也受到了 Github 的青睐,12月份 Github Actions 集成了 Sigstore 对容器镜像的签名能力。2022年初,Shopify 发布了使用 Sigstore 改进 RubyGems 签名的 RFC。5月份,Kubernetes 在 1.24 版本中使用 Sigstore 无缝验证签名。
什么是Sigstore
Sigstore 是一款制品签名、验证的自动化工具,其优势在于对组件的自动化签名和验证实现,公开可审计日志服务的构建,和开源生态的支持。
Sigstore 由 Fulcio,Rekor 和 Cosign 三个主要组件组成。
Fulcio,证书颁发机构,根据 OIDC 身份颁发证书,且只能签署少于 20 分钟的短期证书。OIDC 是基于 OAuth 2.0 的认证+授权协议,用于用户身份认证,安全的暴露用户数据给第三方,可使用 Github、Google 等账号为 Fulcio 提供认证。
Rekor,完全公开日志,使用 Trillian (提供仅增加日志模式的功能,是 Certificate Transparency 思想的概括和扩展)作为防篡改的日志服务,记录验证签名有效性的证据,提供基于 RESTful API的用于存储和验证签名的服务。
Cosign,签名客户端,为容器镜像或制品(artifact,如可执行文件)提供签名、验证和存储支持。签名会写入到如下支持的 OCI 注册表(Oracle云基础设施容器注册表,是一种由 Oracle 管理的 Docker 注册表服务,可以安全的存储和共享容器映像。可用 Docker 命令和 API 轻松推送和拉取 Docker 映像。),并且容器镜像和制品也可以存储在注册表中。
- AWS Elastic Container Registry
- GCP’s Artifact Registry and Container Registry
- Docker Hub
- Azure Container Registry
- JFrog Artifactory Container Registry
- The CNCF distribution/distribution Registry
- GitLab Container Registry
- GitHub Container Registry
- The CNCF Harbor Registry
- Digital Ocean Container Registry
- Sonatyp
最低0.47元/天 解锁文章
扫一扫
900
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
