软件完整性保护方案之Sigstore

原创

已于 2022-05-18 10:24:06 修改 · 1.1k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #网络安全 #github #java #go

于 2022-05-18 09:00:00 首次发布

背景

SolarWinds Orion 软件更新包在2020年底被黑客植入后门，此次攻击事件波及范围极大，包括美国政府部门、关键基础设施以及多家全球500强企业，影响难以估计。如果用户能确认软件来源是可信的 SolarWinds 官方，这次事件可能可以避免。
为了确认软件的来源和构建方式，实现完整性保护，Linux基金会联合Red Hat、Google 和 Purdue 在 2021年3月推出了 Sigstore 代码签名项目，该项目致力于让开发人员签署发布时无感和让用户轻松验证。
Sigstore 在发布后快速发展，多个社区将 Sigstore 加入集成计划。2021年11月，Sigstore 加入了 OpenSSF（开源安全基金会），并且也受到了 Github 的青睐，12月份 Github Actions 集成了 Sigstore 对容器镜像的签名能力。2022年初，Shopify 发布了使用 Sigstore 改进 RubyGems 签名的 RFC。5月份，Kubernetes 在 1.24 版本中使用 Sigstore 无缝验证签名。

什么是Sigstore

Sigstore 是一款制品签名、验证的自动化工具，其优势在于对组件的自动化签名和验证实现，公开可审计日志服务的构建，和开源生态的支持。
在这里插入图片描述
Sigstore 由 Fulcio，Rekor 和 Cosign 三个主要组件组成。

Fulcio，证书颁发机构，根据 OIDC 身份颁发证书，且只能签署少于 20 分钟的短期证书。OIDC 是基于 OAuth 2.0 的认证+授权协议，用于用户身份认证，安全的暴露用户数据给第三方，可使用 Github、Google 等账号为 Fulcio 提供认证。

Rekor，完全公开日志，使用 Trillian （提供仅增加日志模式的功能，是 Certificate Transparency 思想的概括和扩展）作为防篡改的日志服务，记录验证签名有效性的证据，提供基于 RESTful API的用于存储和验证签名的服务。

Cosign，签名客户端，为容器镜像或制品（artifact，如可执行文件）提供签名、验证和存储支持。签名会写入到如下支持的 OCI 注册表（Oracle云基础设施容器注册表，是一种由 Oracle 管理的 Docker 注册表服务，可以安全的存储和共享容器映像。可用 Docker 命令和 API 轻松推送和拉取 Docker 映像。），并且容器镜像和制品也可以存储在注册表中。