Linux Foundation: Signier-Dienst für sicherere Open-Source-Software

Einen kostenlosen Signier-Dienst für Open-Source-Software entwickelt die Linux Foundation im Rahmen ihres Projekts sigstore. Entwickler sollen damit einfach Archive, Container und kompilierte Binaries signieren können, wie sie zur Distribution von Open-Souce-Software zum Einsatz kommen. Mit der Signatur bestätigt der Entwickler, dass er die Software tatsächlich aus seinem Quellcode erzeugt hat.

Diese kryptographische Bestätigung soll verhindern, dass Unbefugte den Quellcode nehmen, manipulieren und damit verfälschte Versionen der Software etwa mit vorsätzlich eingebauten Sicherheitslücken und Schadfunktionen in Umlauf bringen.

sigstore befindet sich derzeit in Entwicklung. Sie wird von Red Hat, Google und der US-amerikanischen Purdue University unterstützt. Der Dienst soll, wenn er fertig ist, kostenlos und einfach zu nutzen sein. Ein öffentliches transparency log namens rekor erlaubt es, Signaturen zu überprüfen.

(odi)