Language
Sigstore: Vertrauenswurzeln für Softwareartefakte
HeimHeim > Blog > Sigstore: Vertrauenswurzeln für Softwareartefakte
NEUESTEN NACHRICHTEN

Sigstore: Vertrauenswurzeln für Softwareartefakte

Oct 12, 2023

Von Dan Lorenc, InfoWorld |

Aufkommende Technologien von Technologen analysiert

Von den rund fünf Milliarden Menschen, die das Internet nutzen, weiß nur ein winziger Bruchteil, wie Transport Layer Security (TLS), digitale Zertifikate oder öffentliche Schlüssel funktionieren. Über die Sicherheitsrisiken, denen Benutzer im Internet heute noch ausgesetzt sind, kann man sagen, was man will, aber es ist ziemlich bemerkenswert, wie gut diese Bausteinprotokolle für das Vertrauen zwischen Websites und Website-Besuchern die enorme Größe des Internets in den letzten 20 Jahren bewältigt haben.

Im Gegensatz dazu ist das Konzept der Sicherheit der Software-Lieferkette noch relativ neu. Die Schlagzeilen über SolarWinds und Log4j haben ein gewisses grundlegendes Bewusstsein für die Hintertüren geschaffen, die entstehen, wenn Entwickler Softwareartefakte unbekannter Herkunft verwenden. Aber wie können wir dieselben Grundprinzipien, wie Vertrauen im Internet funktioniert, anwenden, um Vertrauen zwischen Software-Artefakten und den Millionen von Entwicklern, die sie verwenden, herzustellen? Die meisten Softwareentwickler stecken noch in den Anfängen, dies zu verstehen.

Kürzlich hörte ich, wie Vint Cerf Parallelen zwischen der frühen Web-Public-Key-Infrastruktur (PKI) und dem aufkommenden Artefakt-Signatur- und Open-Source-Signatur-Ökosystem diskutierte. Was mir auffiel, ist, dass ein Großteil des Vertrauens im Internet zwar von einflussreichen Gruppen wie dem Certification Authority Browser Forum gefördert wurde, die die Verwendung dieser Protokolle vorangetrieben haben, indem sie sie in Browser und Betriebssysteme integriert haben. Was die Sicherheit der Software-Lieferkette angeht, gibt es keine vergleichbare Gruppe, die dies vorantreibt. Wir alle sorgen dafür, dass es in einer offenen Community und auf der Grundlage von Open-Source-Projekten funktioniert.

Wenn Sie sich über die Entwicklung dieser aufstrebenden Sicherheitsdomäne informieren möchten, gibt es kein Open-Source-Projekt mit mehr Dynamik oder Branchenzusammenschluss als Sigstore – das kanonische Artefaktsignierungsprojekt der Software-Lieferkette. Werfen wir einen Blick auf einige der Prinzipien und Grundprinzipien von Sigstore, damit Sie verstehen, was sich unter der Haube verbirgt, wenn Sie das nächste Mal sehen, dass Ihr Paketmanager oder Build-System das Wachssiegel von Sigstore verwendet.

Die PKI-Infrastruktur des Webs wurde so konzipiert, dass jede Web-Zertifizierungsstelle (CA) vertrauenswürdig ist, um Zertifikate für jede Domäne im Internet auszustellen. Der Schutz dieser Zertifikate vor Missbrauch – beispielsweise wenn eine Zertifizierungsstelle ein Zertifikat für eine Domäne ausstellt, die sie nicht kontrolliert, wie die Website Ihrer Bank – wird als Zertifikatstransparenz-Framework bezeichnet. Es handelt sich um ein offenes Blockchain-Framework, das ein öffentliches Ledger nur zum Anhängen bereitstellt.

Transparenzprotokolle sind von entscheidender Bedeutung, da sie Entwicklern und Sicherheitsteams die Möglichkeit geben, zu überwachen, dass alle für den Domänennamen eines Unternehmens ausgestellten Zertifikate korrekt ausgestellt werden. So können Sie erkennen, ob sich jemand als Ihr Unternehmen ausgibt und Ihren Datenverkehr manipuliert. Der Sinn von Transparenzprotokollen besteht darin, diese Fehler aufzuzeichnen, damit Sie sie später finden, beheben und die schlimmen Folgen abmildern können.

Sigstore ist ein Open-Source-Framework, das sich vom Certificate Transparency Framework (sowie dem beliebten TLS-Framework Let's Encrypt) inspirieren ließ, um die sehr ähnlichen Herausforderungen effektiv zu lösen, die für die Integrität von Softwareartefakten in der Lieferkettensicherheit bestehen. Wenn wir ein Software-Artefakt herunterladen, woher wissen wir dann, von wem es erstellt wurde und dass es sich um dasselbe Artefakt (und nicht um einen böswilligen Betrüger) handelt, das wir herunterladen? Sigstore löst dieses Problem, indem es Entwicklern ermöglicht, Software-Artefakte wie Release-Dateien, Container-Images, Binärdateien, SBOMs (Software-Stücklisten) und mehr sicher zu signieren. Signierte Materialien werden dann in einem manipulationssicheren öffentlichen Transparenzprotokoll gespeichert.

Es gibt drei Schlüsselprimitive, die Sigstore steuern. Sie benötigen alle drei zusammen, um das gesamte Sigstore-Puzzle zu erstellen, aber sie dienen unterschiedlichen und unabhängigen Zwecken:

Eine Sache, die die Sicherheit der Software-Lieferkette letztendlich möglicherweise mit TLS im Internet gemeinsam hat, besteht darin, dass die meisten Menschen, die es verwenden, möglicherweise nicht einmal wissen, was sich unter der Haube verbirgt und alles möglich macht. Und das ist in Ordnung!

Sigstore ist eine fast zehnjährige Weiterentwicklung von Konzepten, die auf das ACM Queue-Papier von 2014 „Certificate Transparency: Public, Verifiable, Append-only Logs“ zurückgehen. Googles Open-Source-Bereitstellung von Trillian (einer Datenbank, die Transparenzprotokolle als Kernelement verwendet) war ein weiterer großer Evolutionsschritt im Jahr 2016. Mozillas Arbeit rund um Binary Transparency befasste sich kurz darauf eingehend mit der Bedeutung von „Wissen, was in Ihrer Software enthalten ist“ und war eine weitere große Inspiration für das Projekt. Und natürlich war die Einführung von Fulcio durch Brandon Phillips ein weiterer Wendepunkt für das Projekt.

Aber letztendlich wird Ihnen als Entwickler bei Sigstore am meisten am Herzen liegen, dass Sie nicht darüber nachdenken oder die Entwicklungsschritte wertschätzen müssen, die zu seiner Existenz geführt haben.

Was Sie beachten sollten, ist, dass Sigstore zur Standardmethode für die Softwaresignierung für alles geworden ist, von Kubernetes bis hin zu Sprachregistern wie NPM (JavaScript), Maven (Java) und PyPi (Python). Mehr als eine Million Softwareartefakte leben im Transparency Log (Rekor) von Sigstore.

Wenn Sie heute ein Paket von einer beliebten Registry herunterladen, verwenden Sie wahrscheinlich Sigstore, ohne es zu wissen, genauso wie Sie beim Surfen im Internet nicht mehr an HTTPS oder Zertifikate denken. Und das ist das sicherste Zeichen dafür, dass wir große Fortschritte bei der Sicherheit der Software-Lieferkette machen.

Dan Lorenc ist CEO und Mitbegründer von Chainguard. Zuvor war er angestellter Softwareentwickler und Leiter des Open Source Security Teams (GOSST) von Google. Er hat Projekte wie Minikube, Skaffold, TektonCD und Sigstore gegründet.

Das New Tech Forum bietet einen Ort, um neue Unternehmenstechnologien in beispielloser Tiefe und Breite zu erkunden und zu diskutieren. Die Auswahl ist subjektiv und basiert auf unserer Auswahl der Technologien, die wir für wichtig und für die InfoWorld-Leser von größtem Interesse halten. InfoWorld akzeptiert keine Marketingmaterialien zur Veröffentlichung und behält sich das Recht vor, alle beigesteuerten Inhalte zu bearbeiten. Senden Sie alle Anfragen an [email protected].

Lesen Sie als nächstes Folgendes:

Copyright © 2023 IDG Communications, Inc.

AufzeichnenFulcioCosign Das New Tech Forum bietet einen Ort, um neue Unternehmenstechnologien in beispielloser Tiefe und Breite zu erkunden und zu diskutieren. Die Auswahl ist subjektiv und basiert auf unserer Auswahl der Technologien, die wir für wichtig und für die InfoWorld-Leser von größtem Interesse halten. InfoWorld akzeptiert keine Marketingmaterialien zur Veröffentlichung und behält sich das Recht vor, alle beigesteuerten Inhalte zu bearbeiten. Senden Sie alle Anfragen an [email protected].Lesen Sie als nächstes Folgendes: