ソフトウェア メンテナ、ディストリビュータ、コンシューマが、コード、アーティファクト、ツールに完全な信頼を置けるようにするための取り組み ー Red Hat、Google、パデュー大学がリード
本リリースは、Linux Foundation Announces Free sigstore Signing Service to Confirm Origin and Authenticity of Softwareの参考訳です。
2021年3月9日 サンフランシスコ発 ― オープンソースを通じて大規模イノベーションを実現する非営利団体Linux Foundationは、sigstoreプロジェクトを発表しました。sigstoreは、透明性が確保されたログテクノロジを基盤とした暗号化ソフトウェア署名を簡単に導入できるようにすることで、ソフトウェア サプライチェーンのセキュリティを向上させます。
sigstoreは、ソフトウェア開発者がリリース ファイル、コンテナ イメージ、バイナリなどのソフトウェア アーティファクトに安全に署名できるようにします。 署名資料は、改ざんが防止された公開ログに保存されます。このサービスは、sigstoreコミュニティにより開発されたsigstoreコードと運用ツールを使用して、すべての開発者とソフトウェア プロバイダが無料で使用できます。 設立メンバーには、Red Hat、Google、パデュー大学などが名を連ねています。
Red Hat CTOオフィスのセキュリティ エンジニアリング リーダーであるLuke Hinds氏は、次のように述べています。
「sigstoreを使用すると、すべてのオープンソース コミュニティがソフトウェアに署名でき、来歴、整合性、発見可能性を組み合わせることで、透明性があり監査可能なソフトウェア サプライチェーンを構築できます。Linux Foundationでこのコラボレーションをホストすることで、私たちはsigstoreでの仕事を加速し、オープンソース ソフトウェア / 開発の継続的な導入と影響をサポートすることができます。」
ソフトウェアの出所や真正性を理解し確認することは、しばしば異なるアプローチとデータフォーマットに依存しています。存在するソリューションの多くは、改ざんされる可能性がある安全でないシステムに保存されているダイジェストに依存しており、ダイジェストのすり替えやユーザーへの標的型攻撃など、さまざまな攻撃を受ける可能性があります。
ISRG | Let’s Encrypt エグゼクティブ ディレクターであるJosh Aas氏は、次のように述べています。
「ソフトウェア デプロイメントを安全にするためには、自分が思っている通りにソフトウェアが動作しているかどうかを確認することから始める必要があります。sigstoreは、オープンソース ソフトウェアのサプライチェーンにより多くの信頼性と透明性をもたらす素晴らしい機会を提供します。」
オープンソース プロジェクトでソフトウェア アーティファクトに暗号署名をしているケースはほとんどありません。主な原因として、ソフトウェア メンテナーが鍵の管理、鍵の侵害 / 失効、公開鍵やアーティファクト ダイジェストの配布などを簡単に行うことができないことが挙げられます。そのため、ユーザーはどの鍵を信頼すればよいか、署名を検証するために必要な手順を知る必要があります。さらに、メッセージ ダイジェストや公開鍵の配布方法にも問題があり、多くの場合、これらの情報はハッキングされる可能性があるウェブサイトや、gitの公開リポジトリーのREADMEファイルに保管されています。sigstoreは、オープンで監査可能な公開された透明性の高いログを利用して信頼できるルートを持つ一時的な鍵を使うことでこれらの問題を解決しようとしています。
パデュー大学 電気・コンピューター エンジニアリングのアシスタント プロフェッサーで、in-totoプロジェクト創設者であるSantiago Torres-Arias氏は、次のように述べています。
「sigstoreのようなシステムの将来性にとても期待しています。ソフトウェアのエコシステムは、サプライチェーンの状態を報告するために、このようなシステムを切実に必要としています。ソフトウェアのソースや所有権に関する疑問にsigstoreが答えられれば、ソフトウェアの提供先、消費者、(法的およびその他の) コンプライアンスに関する問題を調査して、犯罪ネットワークを特定し、重要なソフトウェア インフラを保護することができると考えています。」
Linux Foundation プロジェクト バイス プレジデント兼ゼネラル マネージャーであるMike Dolanは、次のように述べています。
「sigstoreは、オープンソース開発の最先端を前進させる準備を整えています。私たちは、ソフトウェアのメンテナや消費者が、オープンソース ソフトウェアやセキュリティをより簡単に管理できるようなプロジェクトをホストし貢献できることを嬉しく思います。」
Google オープンソース セキュリティチームのDan Lorenc氏は、次のように述べています。
「sigstoreは、オープンソース ソフトウェアのすべてのリリースを検証可能にし、ユーザーが実際に検証することを容易にすることを目的としています。プロジェクトがオープンな状態で形になっていくのを見るのは楽しいです。sigstoreが安定した拠点を持ち嬉しく思います。」
詳細およびコントリビューションについてはこちらをご覧ください : https://sigstore.dev
Linux Foundationについて
2000年に設立されたLinux Foundationは、1,500を超えるメンバーによってサポートされており、オープンソース ソフトウェア、オープン スタンダード、オープン データ、およびオープン ハードウェアに関するコラボレーションにおいて世界をリードしています。Linux、Kubernetes、Node.jsをはじめとするLinux Foundationのプロジェクトは、世界のインフラに必要不可欠な存在です。Linux Foundationは、ベスト プラクティスを活用し、貢献者、ユーザー、およびソリューション プロバイダーのニーズに対応することにより、サステナブルなオープン コラボレーション モデルを生み出します。詳細については、www.linuxfoundation.org をご覧ください。
###
The Linux Foundation はさまざまな商標を登録および使用しています。The Linux Foundation の商標一覧はこちらのページでご確認いただけます。
Linux は Linus Torvalds の登録商標です。