Sigstore, поддерживаемый Google, Red Hat, GitHub и другими известными организациями с целью обеспечения безопасности цепочки поставок программного обеспечения с открытым исходным кодом, стал общедоступным и выпустил выпуски «v1.0» для своих ключевых программных компонентов.

На этой неделе Sigstore отпраздновала веху общедоступности и выпустила программное обеспечение версии 1.0 для своего журнала прозрачности Rekor и программного обеспечения центра сертификации Fulcio. Sigstore теперь считает себя производителем для подписи и проверки артефактов программного обеспечения.

Sigstore предоставляет средства простых и криптографически подкрепленных средств подписи кода, проверки подписей с использованием журнала прозрачности и мониторинга активности для безопасной проверки цепочки поставок программного обеспечения. На сайте проекта sigstore.dev Sigstore описывает себя как:

sigstore — это набор инструментов, которыми могут воспользоваться разработчики, специалисты по сопровождению программного обеспечения, менеджеры пакетов и эксперты по безопасности. Объединяя бесплатные технологии с открытым исходным кодом, такие как Fulcio, Cosign и Rekor, он обрабатывает цифровую подпись, проверку и проверку происхождения, необходимые для более безопасного распространения и использования программного обеспечения с открытым исходным кодом.

Стандартизированный подход

Это означает, что программное обеспечение с открытым исходным кодом, загруженное для распространения, имеет более строгий, более стандартизированный способ проверки того, кто был вовлечен, что оно не было подделано. Нет риска компрометации ключа, поэтому третьи лица не могут взломать выпуск и подсунуть что-то вредоносное.

Те, кто хочет узнать больше об общедоступности Sigstore на этой неделе, могут прочитать дополнительную информацию об этом в блоге Google Open-Source и блоге Sigstore.