Fundaţia Linux a anunţat recent lansarea proiectului sigstore în această primăvară. Proiectat pentru îmbunătăţirea securităţii lanţurilor de aprovizionare software, proiectul sigstore va permite adopţia de software de signing criptat, dublat de tehnologii de conectare transparentă la astfel de lanţuri.
Proiectul este dedicat profesioniştilor din domeniul dezvoltării de aplicaţii software, care astfel vor putea introduce în mod securizat artefacte software precum imagini container. Materialele introduse urmează apoi să fie stocate într-un registru public securizat.
Noul serviciu va fi gratuit pentru toţi dezvoltatorii şi furnizorii de software. Codurile şi instrumentele operaţionale sunt dezvoltate de comunitatea sigstore. Printre membrii fondatori ai acestei comunităţi se regăsesc nume precum Red Hat, Google şi Universitatea Purdue din Indiana, Statele Unite.
Problema care a generat nevoia noului proiect rezidă în faptul că înţelegerea şi confirmarea originii şi autenticităţii aplicaţiilor software se baza până acum pe abordări şi formate de date adesea disparate. Soluţiile existente acum sunt stocate în sisteme nesigure, supuse adesea pericolelor unor atacuri criminale.
Conform Fundaţiei Linux, foarte puţine proiecte open source au folosit până acum metode criptografice pentru a introduce în reţea elemente precum artefactele software. Acest lucru s-a întâmplat din pricina provocărilor complexe cu care se confruntă arhitecţii software în termeni de management al cheilor de acces şi de distribuţie a cheilor publice de acces.
În încercarea de a adresa astfel de provocări, proiectul sigstore va utiliza chei generice de acces, cu viaţă scurtă, generate din jurnale de conectare publice deschise şi auditabile. Într-un mesaj transmis pieţei, membrii proiectului spun că odată ce sigstore va răspunde problemelor legate de sursele software şi proprietatea aplicaţiilor dezvoltate, se vor putea aborda chestiuni extrem de importante cum ar fi destinaţia aplicaţiilor software, conformitatea legală, identificarea reţelelor infracţionale şi securizarea infrastructurilor software critice.