软件完整性保护方案之Sigstore

背景

SolarWinds Orion 软件更新包在2020年底被黑客植入后门,此次攻击事件波及范围极大,包括美国政府部门、关键基础设施以及多家全球500强企业,影响难以估计。如果用户能确认软件来源是可信的 SolarWinds 官方,这次事件可能可以避免。
为了确认软件的来源和构建方式,实现完整性保护,Linux基金会联合Red Hat、Google 和 Purdue 在 2021年3月推出了 Sigstore 代码签名项目,该项目致力于让开发人员签署发布时无感和让用户轻松验证。
Sigstore 在发布后快速发展,多个社区将 Sigstore 加入集成计划。2021年11月,Sigstore 加入了 OpenSSF(开源安全基金会),并且也受到了 Github 的青睐,12月份 Github Actions 集成了 Sigstore 对容器镜像的签名能力。2022年初,Shopify 发布了使用 Sigstore 改进 RubyGems 签名的 RFC。5月份,Kubernetes 在 1.24 版本中使用 Sigstore 无缝验证签名。

什么是Sigstore

Sigstore 是一款制品签名、验证的自动化工具,其优势在于对组件的自动化签名和验证实现,公开可审计日志服务的构建,和开源生态的支持。
在这里插入图片描述
Sigstore 由 Fulcio,Rekor 和 Cosign 三个主要组件组成。

Fulcio,证书颁发机构,根据 OIDC 身份颁发证书,且只能签署少于 20 分钟的短期证书。OIDC 是基于 OAuth 2.0 的认证+授权协议,用于用户身份认证,安全的暴露用户数据给第三方,可使用 Github、Google 等账号为 Fulcio 提供认证。

Rekor,完全公开日志,使用 Trillian (提供仅增加日志模式的功能,是 Certificate Transparency 思想的概括和扩展)作为防篡改的日志服务,记录验证签名有效性的证据,提供基于 RESTful API的用于存储和验证签名的服务。

Cosign,签名客户端,为容器镜像或制品(artifact,如可执行文件)提供签名、验证和存储支持。签名会写入到如下支持的 OCI 注册表(Oracle云基础设施容器注册表,是一种由 Oracle 管理的 Docker 注册表服务,可以安全的存储和共享容器映像。可用 Docker 命令和 API 轻松推送和拉取 Docker 映像。),并且容器镜像和制品也可以存储在注册表中。

  • AWS Elastic Container Registry
  • GCP’s Artifact Registry and Container Registry
  • Docker Hub
  • Azure Container Registry
  • JFrog Artifactory Container Registry
  • The CNCF distribution/distribution Registry
  • GitLab Container Registry
  • GitHub Container Registry
  • The CNCF Harbor Registry
  • Digital Ocean Container Registry
  • Sonatyp
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值