2min

GitHub wil Sigstore standaardiseren om npm packages, infrastructuur en repositories te verifiëren. Een aantal developers zijn tegen het plan.

GitHub is de beheerder van het npm package management system. De organisatie wil een nieuwe securityfunctie in npm integreren omdat de package manager populair is onder JavaScript- en TypeScript-ontwikkelaars. GitHub wil npm met Sigstore verbinden, een technologie voor geverifieerde verbindingen tussen npm packages, GitHub repositories en de infrastructuur van een project.

Sigstore

Sigstore werd in maart 2021 gelanceerd. Het project wordt onder andere ondersteund door de Linux Foundation, Giant Teach en VMware.

Sigstore is een verzameling van code signing tools voor developers, software managers, package supervisors en security professionals. De technologie maakt het voor developers mogelijk om een bestand, container image of materiaallijst te onderteken. Partners en eindgebruikers kunnen het bestand snel en veilig verifiëren. Sigstore is reeds geïmplementeerd door registries als RubyGems en PyPi.

Nadelen

Een aantal GitHub developers zijn ontevreden met het voorstel voor de implementatie. Volgens de critici is Sigstore een experimentele technologie. Ook de ontwikkelaars van Sigstore erkennen dat het project in de kinderschoenen staat.

Daarnaast ondersteunt Sigstore uitsluitend algemene npm packages met public reference archives en server-gebaseerde CI/CD-providers. Ondersteuning is beperkt en creëert het risico op lock-in.

Fulcio, een van de modules van Sigstore, is een voorbeeld. De module is op dit moment uitsluitend geschikt voor GitHub Actions. Een aantal developers lieten in een RFC weten dat ze “graag support terugzien voor elke grote CI/CD provider”, waaronder Circle CI, GitLab en Google Cloud Build.

Vooruitzicht

Het voorstel wakkert een discussie aan over de vraag of Sigstore wel of niet gebruikt moet worden. De prognose is dat de huidige versie van Sigstore eerder een last is voor ontwikkelaars dan een voordeel voor gebruikers. Developers zoeken naar een alternatief, maar er is weinig motivatie om vergelijkbare technologieën te ontwikkelen met een focus op developers.

Tip: Tien malafide Python packages gevonden