Linux Foundation、Red Hat、Google和Purdue近日推出了免费的“sigstore”代码签名服务，该服务使开发人员可以对开放源代码进行代码签名和验证，以防止供应链攻击。

正如最近的依赖关系混淆攻击和恶意NPM软件包所展示的，越来越多的供应链攻击开始瞄准开源生态系统。

攻击者将开发恶意开源程序包，并使用与流行的合法程序包相似的名称将其上传到公共存储库。如果开发人员错误地将恶意软件包包含在自己的项目中，则在开发项目时将自动执行恶意代码。

Sigstore的推出，就是为了防止此类型的攻击。“sigstore”是一种免费使用的非盈利性软件签名服务，允许开发人员对开源软件进行签名并验证其真实性。

“您可以将Sigstore看作是类似Let’s Encrypt的免费HTTPS证书和自动化工具，sigstore也提供免费的证书和工具来自动化和验证源代码的签名。”谷歌在博客中介绍说：“Sigstore还支持透明日志，这意味着所有证书和证明都是全球可见、可发现和可审计的。”

Sigstore的构建基于OpenID Connect短期证书、公共透明日志和为代码签名分配的特殊Root CA证书。

参考资料

https://security.googleblog.com/2021/03/introducing-sigstore-easy-code-signing.html