Software Supply Chain Security: Sigstore ist einsatzreif für die Produktion
Sigstore, der kostenlose Software-Signierungsdienst der OpenSSF, gilt nach Erreichen von Version 1.0 als offiziell reif für den produktiven Einsatz.
(Bild: PhotoworldPro/Shutterstock.com)
Das Sigstore Technical Steering Committee hat im Zuge der SigstoreCon die General Availability (GA) des kostenlosen Software-Signierungsdienstes Sigstore offiziell bekannt gegeben. Der unter dem Dach der Open Source Security Foundation (OpenSSF) Anfang 2021 gestartete Dienst hat der Ankündigung zufolge seine Experimentierphase erfolgreich abgeschlossen. Im Rahmen des Projekts haben sowohl der Transparenz- und Zeitstempeldienst Rekor als auch die freie Certificate Authority (CA) Fulcio Version 1.0 und API-Stabilität erreicht – damit gilt Sigstore als reif für den Einsatz in Produktionsumgebungen.
Experimentierphase abgeschlossen – nun wird es ernst
Mit Sigstore steht Entwicklerinnen und Entwicklern beim Absichern der Software Supply Chain nun eine vollwertige Open-Source-Alternative für das Signieren und Verifizieren von Artefakten wie etwa Archiven, Containern und kompilierten Binaries zur Verfügung. Anhand der Signatur bestätigen sie, dass die betreffende Software tatsächlich aus dem eigenen Sourcecode erstellt wurde. So soll verhindert werden, dass Dritte den Code unbefugt verwenden und gegebenenfalls manipulieren, um etwa Sicherheitslücken oder Schadcode zu verbreiten.
Einfacher und zuverlässiger gegen Code-Manipulationen schützen
Sigstore eröffnet somit Schutz vor Methoden wie beispielsweise dem "Package Planting", bei dem Angreifer unzureichende Sicherheitseinstellungen im npm-Paketmanager ausnutzen, um mit Schadcode präparierte Pakete als legitime zu platzieren. Die Verantwortlichen bei GitHub begrüßen die Ankündigung der Sigstore GA daher ausdrücklich. GitHub-Actions-Nutzerinnen und -Nutzer profitieren demnach künftig unter anderem beim Signieren von Builds durch vereinfachtes Schlüsselmanagement. Im Zusammenspiel mit Cosign kann Sigstore beim Build von Container-Images oder vergleichbaren Output-Typen ein Signierzertifikat erzeugen, ohne einen privaten Schlüssel pflegen zu müssen (Keyless Signing). Darüber hinaus integriert Sigstore weitere wichtige Informationen aus dem OIDC-Token (OpenID Connect) in das Zertifikat: beispielsweise den Pfad zum Repository des betreffenden Build-Commits und einen Link zu der Datei, die die Build-Anweisungen enthält.
(Bild: sigstore.dev)
Alle diese Maßnahmen tragen nach Einschätzung der GitHub-Verantwortlichen dazu bei, das npm-Paketmanagement als auch die kompletten CI/CD-Pipelines sicherer zu gestalten. GitHub bringt sich daher aktiv in das Sigstore-Projekt ein, das die Linux Foundation (respektive die OpenSSF) ursprünglich in Kooperation mit Google, Red Hat und der US-amerikanischen Purdue University Anfang 2021 auf den Weg gebracht hatte. Inzwischen zählen unter anderem auch Cisco, Hewlett-Packard, VMware und Chainguard zu den Unterstützern.
Mehr Details zu Sigstore und dem aktuellen Stand des Projekts bieten die Ankündigung der OpenSSF sowie der Blogbeitrag des Sigstore Technical Steering Committee. Einen tieferen Einblick in das Konzept gewähren die Sigstore-Website sowie das GitHub-Repo, in dem sich auch detaillierte Informationen zu den verschiedenen Projektkomponenten wie Rekor und Fulcio finden.
(map)