作者。Kim Lewandowski, 代表数字身份认证工作组
我们在2020年8月启动了OpenSSF下的第一个数字身份证明工作组会议。该工作组的目标是使开源维护者、贡献者和最终用户能够了解他们所维护、生产和使用的代码的出处或来源,并作出决定。
我们在前几次会议上讨论了不同的威胁模式,因为它与参与软件供应链的人的数字身份有关,以及在供应链的每个环节中可能出现哪些类型的攻击。在这个练习之后,我们的会议充满了社区演讲,因为我们都试图了解这个领域的更多信息,并集思广益,寻找潜在的机会,共同减轻这些类型的攻击。
以下是迄今为止的演讲摘要。
Linux内核
In-Toto
- 演讲者。Santiago Torres-Arias (普渡大学)
- 摘要:本演讲介绍了in-toto作为一个框架,用于自动化软件供应链操作的合规性、组织内的新行为人(如开发人员)的入职,以及验证软件开发生命周期的最佳实践。使用in-toto,可以对这些过程进行加密检查,以确保每个行为者正确履行其职责,没有遗漏任何步骤,也没有篡改这些步骤的证据。
- 幻灯片
- 淘宝网
自主的身份
- 演讲者。Arnaud Le Hors (IBM)
- 摘要:对自我主权身份的简短介绍,这是一个新的身份管理系统,允许个人和组织对其数字身份进行控制。本演讲介绍了基于特定场景的整体架构,强调了关键原则,并指出了各种相关的倡议,重点是开发支持标准和软件。
- 幻灯片
- 淘宝网
Node.js的发布过程
- 演讲者。Myles Borins (GitHub)
- 摘要:Myles回顾了Node.js项目如何以安全可靠的方式管理发布。我们研究了我们用来帮助发布经理维护多条发布线的工具,我们的测试基础设施,以及我们为确保可靠的一致发布而制定的流程。
- 淘宝网
用SSH进行Git签名
- 演讲者。达米安-米勒(谷歌)
- 摘要:讨论让git仓库中的每一行代码以加密方式归属于作者或导入者的目标。
建议重构git的密码学支持,允许更多的签名方案,而不仅仅是目前的gnupg。建议增加对使用SSH密钥签名的支持,因为大多数git用户已经有一个SSH密钥,他们用它来认证版本库。 讨论在OpenSSH中已经取得的进展,以支持可以兼容的任意签名。
希望使用SSH密钥的签名可以做到近乎无缝,提交和推送的签名可以成为大多数用户的默认签名。 讨论存储库-主机端反签名等问题,以便在重构/合并操作中保留出处。 - 幻灯片
- 淘宝网
PKI
- 演讲者:Mike MaloneMike Malone (Smallstep)
- 摘要:对公钥基础设施(PKI)标准和技术的介绍和概述。广义上讲,PKI涉及密钥的分配和管理(注册、更新、撤销、透明度等)。本讲座探讨了网络PKI(HTTPS)的标准和实践,以及如何应用它们来帮助保障软件供应链的安全。
- 幻灯片
- 淘宝网
杨森
- 演讲者。 迈克-施瓦茨
- 摘要:Janssen是一个开源的数字身份和访问管理平台。组织可以使用这个软件来自我托管一个身份提供者,或者将这种能力建立在一个产品中。该项目包括 "Janssen Auth Server",它是一个OAuth授权服务器和一个OpenID Connect提供商。Janssen Auth Server是Gluu Server 4.2.2的核心组件的分叉,该组件已在OpenID基金会得到认证。 杨森项目的其他组件包括一个W3C WebAuthn服务器(FIDO 2)的实现,它使人们能够注册、验证和管理这些新的证书。 除了源代码之外,杨森项目还发布了云端原生资产和一个可以安装在虚拟机或裸机上的发行版。
- 淘宝网
- 项目主页。 https://jans.io
下一步是什么?
我们一直在寻找新的演讲者,讨论这个领域的主题。如果你对演讲感兴趣,或者想参与到工作组中来,请查看 GitHub repo 以了解会议和其他沟通渠道的详情。
在未来,该工作组希望围绕整个软件供应链的签名透明度进行探索。
感谢所有演讲者抽出时间进行演讲,并感谢他们帮助编撰这篇回顾文章!