Linux Foundation lanciert Signaturtool für Open-Source-Software

10. März 2021, 13:08
image

Das Projekt Sigstore soll es ermöglichen, die Herkunft jedes einzelnen Teils eines Software-Builds zu verifizieren.

Die Linux Foundation hat ein neues Projekt enthüllt, das für die Open-Source-Community sehr wichtig werden könnte: das Projekt Sigstore. Es soll die Sicherheit der Supply Chains im Open-Source-Bereich deutlich erhöhen.
Im Rahmen des Projekts soll ein kostenloser Service entstehen, der es für Entwickler von Open-Source-Software einfach machen soll, ihre Werke mit einer kryptographischen Signatur zu versehen. Dies gilt anfänglich für Release-Artefakte wie Tarballs, kompilierte Binaries oder Container Images. Später sollen auch weitere Formate hinzukommen. Gleichzeitig führt Sigstore ein zentrales Register, in dem festgehalten wird, wer genau was signiert hat.
Noch ist das Projekt nicht so weit gediehen, aber sein Endziel ist es, dass für Open-Source-Projekte eine voll transparente, nachprüfbare "Materialliste" erstellt werden kann, eine sogenannte "Software Bill of Materials" (SBOM). Dies soll es Entwicklern und Anwendern jederzeit ermöglichen, genau zu wissen, wo der von ihnen verwendete Code herkommt und auch, dass er nicht verändert wurde.
Es gibt zwar bereits jetzt Tools, mit denen Open-Source-Software signiert werden kann, aber viele Entwickler verwenden sie nicht.  Ein frei verfügbares, einfach einsetzbares Tool, das in der Community zum Standard wird, könnte diese Situation stark verbessern.

Loading

Mehr zum Thema

image

Vertragsauflösung in UK: Bei Atos könnten viele Stellen wegfallen

Ein auf potenziell 18 Jahre angelegter Vertrag zwischen der britischen Pensionskasse und dem IT-Dienstleister wurde nach 2 Jahren aufgelöst. Medien gehen von 1000 Stellen aus, die gefährdet sind.

publiziert am 3.2.2023
image

APIs bei Twitter werden kostenpflichtig

Schon in weniger als einer Woche werden Entwicklerinnen und Entwickler zur Kasse gebeten. Ein Preismodell gibts noch nicht.

publiziert am 3.2.2023
image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023