简化签名体验：Linux基金会推出sigstore软件真实性验证服务

　　致力推动开源创新的 Linux 基金会，刚刚宣布了一项旨在通过便捷的加密软件签名、提升软件供应链安全性的新服务。BetaNews 报道称，名为“sigstore”的这项辅助，使得软件开发者能够轻松地对各种软件工件进行签名，比如发行文件、容器映像、以及二进制文件。

(传送门：Sigstore.dev)

　　通过将签名材料存储在防篡改的公共日志中，Linux 基金会希望 sigstore 签名服务能够在开源软件开发领域普及开来。当前的项目创始成员，包括了红帽、谷歌、以及普渡大学。

　　红帽首席技术官办公室的安全工程负责人 Luke Hinds 表示：

　　sigstore 旨在全面覆盖凯源代码社区，允许开发者轻松地为软件提供签名。结合出处、完整性和可发现性，此举有助于营造透明且可审核的软件供应链。

　　在 Linux 基金会的主持合作下，我们可以加快 sigstore 的相关工作，以促进开源软件的开发、采用和行业影响力。

　　此前很少有开源项目使用加密签名手段，主要原因是软件维护人员在密钥管理、撤销和公钥分配等工作方面遇到了一定的挑战。

　　基于此，许多用户只能努力寻找受信任的密钥，并自行学习验证签名所需的步骤，更别提公钥的分发方式还存在着其它问题。

　　这些公钥通常存储在易受黑客攻击的网站上，甚至放置在公共 git 存储库的自述(README)文件中。

　　但随着 sigstore 公共服务的推出，我们可以使用临时密钥和信任根来规避上述问题(后者源于开放且可审核的公共透明日志)。

　　最后，谷歌开源安全团队的 Dan Lorenc 表示：sigstore 旨在让所有版本的开源软件都能够经过验证，且允许客户轻松对其展开实际验证，希望未来这一过程能能够变得更加容易。

感谢您的来访，获取更多精彩文章请收藏本站。