اقدامGithub برای محافظت از منابع open source در برابر حملات زنجیره تامین
به دنبال کمپین جاسوسی سایبری SolarWinds در سال 2020، که در آن هکرهای روسی به روز رسانی های آلوده را به یک پلتفرم مدیریت فناوری اطلاعات که به طور گسترده مورد استفاده قرار می گیرد، منتقل کردند، یک سری حملات بیشتر را در زنجیره تامین نرم افزار همچنان بر نیاز فوری به قفل کردن زنجیره های نرم افزاری تاکید می کند. و این موضوع بهویژه در منبع باز، جایی که پروژهها ذاتاً غیرمتمرکز هستند و اغلب بهصورت موقتی تلاش میکنند، شدیدتر است.
GitHub که خود متعلق به مایکروسافت است، اعلام کرد که قصد دارد از امضای کد، نوعی مهر و موم دیجیتال، برای بستههای نرمافزاری npm با استفاده از پلتفرم امضای کد Sigstore پشتیبانی کند. این ابزار از همکاری بین صنعت نشأت گرفت تا برای منبع باز بسیار آسان تر شود تا تأیید کنند که کدی که ایجاد می کنند همان کدی است که در نهایت به بسته های نرم افزاری می رسد که واقعاً توسط افراد در سراسر جهان بارگیری می شود.
جاستین هاچینگز، مدیر محصول GitHub می گوید: در حالی که اکثر بسته های npm منبع باز هستند، در حال حاضر هیچ تضمینی وجود ندارد که بسته ای در npm از همان کد منبع منتشر شده ساخته شده باشد. حملات زنجیره تامین در حال افزایش است و افزودن اطلاعات ساخت امضا شده به بستههای منبع باز که تأیید میکند نرمافزار از کجا آمده و چگونه ساخته شده است، راهی عالی برای کاهش سطح حمله است.
به عبارت دیگر، همه چیز در مورد ایجاد یک بازی تلفنی تایید شده رمزنگاری شده و شفاف است.
دن لورنک، مدیر عامل Chainguard، که Sigstore را توسعه می دهد، تأکید می کند که اگرچه GitHub تنها جزء اکوسیستم متن باز نیست، اما یک میدان شهری کاملاً حیاتی برای جامعه است زیرا اکثریت قریب به اتفاق پروژه ها در آنجا ذخیره و منتشر می شوند.
با ارائه Sigstore به مدیران ، شفافیت بسیار بیشتری در هر مرحله از سفر نرم افزار وجود دارد، و ابزار Sigstore به توسعه دهندگان کمک می کند تا بررسی های رمزنگاری و الزامات را هنگام حرکت نرم افزار در زنجیره تامین مدیریت کنند.
Sigstore توسط بنیاد لینوکس، گوگل، رد هت، دانشگاه پردو و Chainguard توسعه داده شده است. پلتفرم توسعه نرم افزار منبع باز Kubernetes اکنون از Sigstore پشتیبانی می کند و یک ابزار رسمی برای امضای توزیع بسته های Python با استفاده از Sigstore وجود دارد.
Hutchings GitHub می گوید: “روش های سنتی مدیریت کلیدهای امضا به اندازه جامعه منبع باز به خوبی مقیاس نمی شوند و بینشی در مورد نحوه ساخت نرم افزار ارائه نمی دهند.” یکی از چیزهایی که ما در مورد Sigstore دوست داریم این است که که پیکربندی آن برای کاربران نهایی صفر است، بنابراین ما میتوانیم این را با اکوسیستم توسعهدهنده خود بدون توجه به محل زندگی کد منبع، افزایش دهیم.»
مشابه تلاشهای عظیم صنعت برای ترویج رمزگذاری وب HTTPS، که تا حد زیادی با ابزارهایی مانند Let’s Encrypt از گروه تحقیقاتی امنیت اینترنت غیرانتفاعی امکانپذیر شد، Sigstore برای تشویق به پذیرش رایگان بودن و استفاده آسان متکی است.
Hutchings GitHub میگوید: «ما میخواهیم جهانی را ببینیم که در نهایت تمام مصنوعات نرمافزار امضا شده و به کد منبع پیوند داده میشوند. به همین دلیل بسیار مهم است که یک فناوری open source مانند Sigstore بسازیم که سایر مخازن بسته بندی نیز بتوانند از آن استفاده کنند.