Linux 基金会将推出代码签名及验证服务
近日,Linux 基金会宣布将联合红帽、Google 和普渡大学推出免费的「sigstore」服务,让开发者可以对开源软件进行代码签名和验证,以防止供应链攻击(supply-chain attacks)。 正如最近的依赖混淆攻击以及恶意拼写的 NPM 包所证明的那样,开源生态系统是供应链攻击的常见目标。 为了进行这些攻击,攻击者会创建恶意的开源软件包,并使用与知名的合法软件包相似的名称将其上传到公共仓库。如果开发人员错误地将恶意软件包包含在自己的项目中,恶意代码将在项目构建时自动执行。 为了防止这类攻击,「sigstore」也就应运而生。sigstore 将会是一个免费使用的非盈利性软件签名服务,允许开发者对开源软件进行签名并验证其真实性。 你可以把它想象成是用于代码签名的 Let's Encrypt。就像 Let's Encrypt 如何为 HTTPS 提供免费证书和自动化工具一样,sigstore 同样也提供免费证书和自动化工具,只不过是用于验证源代码的签名。 Google 在博客中解释道:“sigstore 还拥有透明度日志支持这一额外优势,这意味着所有的证书和证明都是全局可见、...
