这个里程碑为每个开源项目在默认情况下提高安全性铺平了道路。
密歇根州底特律市,2022年10月25日 -- 今天,在SigstoreCon,... 淘宝网 社区宣布其免费软件签名服务的普遍可用性,使开源社区能够获得生产级的稳定服务,用于工件签名和验证。Sigstore提供了一套工具,旨在通过轻松签署、验证和检查开发人员正在构建和消费的软件来提高供应链的安全性。
面对越来越多的软件供应链安全问题,Sigstore正迅速成为历史上采用最快的开源技术之一。迄今为止,使用Sigstore和世界上最大的两个开源社区已经记录了超过400万个签名。 库伯内特斯 和Python,都采用了Sigstore的真实性蜡封,在他们的生产版本上签署了Sigstore。最近的一次。 npm 宣布他们正在积极努力整合Sigstore,因此所有npm包都可以可靠地链接到其源代码和构建说明。
"软件组件上的签名是确保全球软件供应链安全的一个重要部分。在Sigstore之前,只有到消费者手中的最后一公里是安全的。现在我们可以通过一个易于使用的工具包和服务来保证我们所依赖的上游组件的完整性,"说。 布莱恩-贝伦道夫OpenSSF的总经理。"向Sigstore的开发者、倡导者和其他贡献者致敬,他们不仅实现了1.0,而且已经实现了广泛的实施和影响。"
"Sigstore已经迅速成为签署、验证和保护软件的标准,因此,在软件供应链安全比以往任何时候都更重要的时候,很高兴宣布全面上市,为更广泛的采用消除最后一个障碍,"说。 Priya WadhwaSigstore技术指导委员会成员、Chainguard的软件工程师。"我们希望Sigstore的下一阶段将使开源软件生态系统的其他部分在采用这项技术时获得更大的信心,并从其可靠和稳定的经验中受益。
"Sigstore的采用率远远超过了我们的预期,这充分说明了Sigstore的API需要一个GA版本。GA将向我们现在和将来所要服务的社区发出稳定和可靠的信号,"说。 卢克-海因兹他是Sigstore项目的创始人,也是红帽公司CTO办公室的安全工程负责人。
"我很高兴看到Sigstore达到GA。这是一个项目的基本里程碑,它正在迅速成为保护软件供应链的宠儿。 Santiago Torres-Arias他是Sigstore技术指导委员会成员和普渡大学的教授。"这不仅谈到了项目的成熟度以及它致力于为其已经庞大的用户群提供服务的方式,而且是一个信号,让未来的采用者知道他们可以依靠Sigstore来保护他们的社区和生态系统。"
"这个普遍可用的里程碑,以及相关的V1.0版本,使透明数字签名在整个软件供应链中得到更广泛的使用,"说。 鲍勃-卡拉威。 Sigstore的联合创始人和谷歌开源安全团队的技术领导和经理。"我为我的同事和更广泛的社区的工作感到自豪,因为它确保我们有一个供应商中立的运营团队,并为加入更多的项目和开源软件生态系统做好准备。"
"Sigstore的GA是所有软件生态系统的一个巨大的里程碑,"说。 Trevor Rosen他是Sigstore技术指导委员会的成员和GitHub的员工工程经理。"长期以来,开源项目的用户不得不盲目地相信代码和人工制品,而这些代码和人工制品的来源可能难以或无法完全核实。通过提供一个签署和验证开源软件的综合系统,Sigstore正在创建一个从业余爱好者到企业都可以建立的基石,提供由强大保障支持的信任。
Sigstore社区将以99.5%的正常运行时间SLO和全天候的呼叫器支持来运营该服务。项目赞助商Google、Red Hat、GitHub和Chainguard等提供了支持服务水平目标的资源,使之成为可能。结束语 70个组织包括Shopify、Autodesk、Trail of Bits和Rancher政府解决方案,都积极参与维护和扩大Sigstore的规模。
关于今天新闻的更多信息,包括技术更新,可以在以下网站上找到 Sigstore博客.访问 Sigstore.dev 获取最新的文档、最佳实践和使用Sigstore的案例研究。
Sigstore冠军引言。
"作为Ruby社区的领导者,Shopify很自豪地支持Sigstore为确保其社区的隐私、信任和安全所做的努力。我们期待着与Sigstore继续合作,在Ruby生态系统中开拓技术。"- 雅克-切斯特。 Shopify的高级员工开发员
"Sigstore是为保密计算中的实际远程证明提供伟大用户体验的基石。它使我们的机密Kubernetes可以进行端到端验证。"- 费利克斯-舒斯特担任无棱镜系统公司的首席执行官
"作为世界上一些最具针对性的系统的安全专家,Trail of Bits很高兴能成为Sigstore在软件签名和验证方面取得进展的合作伙伴,"说。 威廉-伍德鲁夫谭晓明,Trail of Bits公司的高级安全工程师。"Sigstore社区是一个很好的例子,说明开源社区应该如何运作。我们期待着进一步合作,特别是在软件包管理领域!"
"Sigstore将为npm生态系统的一种新的安全能力提供动力--一种可靠的方式,将一个包与它的源代码和构建指令连接起来。 Zach Steindler他是GitHub的员工安全工程师,也是npm集成的项目经理。"GA意味着我们可以在生产中依赖它,这反过来又让我们的用户对npm包包含他们所声称的内容更有信心。这再及时不过了,因为每个人都在寻求改善他们的软件供应链安全。"
"使用Sigstore对Python发布的工件进行签名,为Python用户提供了一个独特的好处,让他们有一个简单而安全的方法来验证Python本身的完整性。它还有利于Python的维护者,因为它提供了一种更容易使用的签名技术,对密钥丢失有更强的抵抗力,并包括额外的保护措施来检测潜在的破坏。" - 达斯汀-英格拉姆。 Python软件基金会主任
关于OpenSSF
开源安全基金会(OpenSSF)是一个由Linux基金会主办的跨行业组织,它将业界最重要的开源安全计划以及支持这些计划的个人和公司聚集在一起。OpenSSF致力于合作,并与上游和现有社区合作,为所有人推进开源安全。欲了解更多信息,请访问。 openssf.org.
关于Linux基金会
Linux基金会成立于2000年,它和它的项目得到了3000多个成员的支持。Linux基金会是世界上领先的开源软件、硬件、标准和数据的合作之家。Linux基金会的项目对世界的基础设施至关重要,包括Linux、Kubernetes、Node.js、ONAP、Hyperledger、RISC-V、PyTorch等。Linux基金会的方法专注于利用最佳实践,解决贡献者、用户和解决方案提供者的需求,以创造可持续的开放合作模式。欲了解更多信息,请访问我们的网站 linuxfoundation.org.
媒体联系
Jennifer Bly, OpenSSF
