Die Linux Foundation hat ein neues Projekt enthüllt, das für die Open-Source-Community sehr wichtig werden könnte: das Projekt Sigstore. Es soll die Sicherheit der Supply Chains im Open-Source-Bereich deutlich erhöhen.

Im Rahmen des Projekts soll ein kostenloser Service entstehen, der es für Entwickler von Open-Source-Software einfach machen soll, ihre Werke mit einer kryptographischen Signatur zu versehen. Dies gilt anfänglich für Release-Artefakte wie Tarballs, kompilierte Binaries oder Container Images. Später sollen auch weitere Formate hinzukommen. Gleichzeitig führt Sigstore ein zentrales Register, in dem festgehalten wird, wer genau was signiert hat.

Noch ist das Projekt nicht so weit gediehen, aber sein Endziel ist es, dass für Open-Source-Projekte eine voll transparente, nachprüfbare "Materialliste" erstellt werden kann, eine sogenannte "Software Bill of Materials" (SBOM). Dies soll es Entwicklern und Anwendern jederzeit ermöglichen, genau zu wissen, wo der von ihnen verwendete Code herkommt und auch, dass er nicht verändert wurde.

Es gibt zwar bereits jetzt Tools, mit denen Open-Source-Software signiert werden kann, aber viele Entwickler verwenden sie nicht.  Ein frei verfügbares, einfach einsetzbares Tool, das in der Community zum Standard wird, könnte diese Situation stark verbessern.