De open-source technologie maakt het mogelijk om de betrouwbaarheid van softwarecomponenten te verifiëren. Sigstore wordt gebruikt door de ontwikkelaars van gigantische projecten als Kubernetes en Python. Inmiddels is de gratis technologie algemeen beschikbaar.

Software supply chain security is een groeiend probleem. Kwetsbaarheden in libraries, development tools en andere artifacts stellen cybercriminelen in staat om organisaties op schaal aan te vallen. Log4Shell is een schoolvoorbeeld, evenals de aanval op SolarWinds.

Eind 2021 onthulden onderzoekers een kritieke kwetsbaarheid in Log4j, een populaire library voor Java. De library wordt in de software van talloze organisaties gebruikt, maar niemand leek precies te weten waar. Sommige bedrijven werden aangevallen omdat ze de library over het hoofd zagen. Andere bedrijven liepen downtimeschade op door onnodige systemen uit voorzorg af te sluiten.

Het probleem was een gebrek aan inzicht in de herkomst van software. De gemiddelde applicatie bestaat uit een wirwar van hergebruikte onderdelen. De oorsprong is zelden duidelijk. Sigstore lost het probleem op. De open-source technologie maakt het mogelijk om de herkomst van software te verifiëren. Sigstore werd onlangs als gratis dienst beschikbaar gemaakt.

Sigstore

Het idee is simpel. Je schrijft een stukje code en drukt op de knop, waarna Sigstore de code ondertekent. De handtekening geeft aan wie de code heeft gewijzigd, wanneer de code is gewijzigd en hoe de code is gewijzigd. Sigstore slaat de handtekening veilig en versleuteld op.

Wanneer je de code met iemand deelt kan hij of zij de handtekening inzien. Zo weet de ontvanger waar de code vandaan komt. Verwerkt de ontvanger de code in een eigen softwareproject, dan blijft de handtekening intact. Deelt de ontvanger het eigen softwareproject met een ander, dan weet diegene waar het softwareproject uit bestaat.

In de praktijk is Sigstore iets complexer. Het project bestaat uit meerdere open-source tools, elk met een eigen taak. Cosign helpt bij het hosten van een register voor handtekeningen, Rektor genereert een log van gebeurtenissen, enzovoorts. Samen creëren de tools het bovengenoemde gestroomlijnde proces.

Open-source security

Sigstore is ontworpen voor open-source communities. De technologie wordt op schaal gebruikt door de ontwikkelaars van Kubernetes en Python.

Uiteindelijk maakt Sigstore het mogelijk om de code van een softwareproject in oogopslag te vertrouwen. Cybercriminelen hebben geen manier om kwaadaardige wijzigingen door te voeren. Wil je weten waar de componenten van een applicatie vandaan komen, dan raadpleeg je de handtekening.

Sigstore is vanaf nu algemeen beschikbaar. Het project wordt doorontwikkeld met bijdragen van grote spelers als Google, GitHub, Chainguard en Red Hat.

Tip: KubeCon + CloudNativeCon North America 2022: acht ‘bits’ van cloud-native