เปิดตัวโครงการ Sigstore ฐานข้อมูลออนไลน์สาธารณะสำหรับข้อมูลการรับรองซอฟต์แวร์

Google, Linux Foundation, RedHat และมหาวิทยาลัย Purdue ได้ร่วมกันเปิดตัวโครงการ Sigstore ภายใต้แนวคิดของที่มีลักษณะคล้ายกับโครงการ Let's Encrypt สำหรับการทำ Code signing

โครงการ Sigstore จะเป็นโครงการฐานข้อมูลการรับรองซอฟต์แวร์, อิมเมจของ Container หรือไบนารี โดยจะเป็นช่องทางให้นักพัฒนาซอฟต์แวร์แบบโอเพนซอร์สสามารถทำ Code signing กับข้อมูลในโครงการของตัวเองได้ฟรี พร้อมกับเป็นช่องทางที่ให้ผู้ใช้งานคนอื่นสามารถตรวจสอบความถูกต้องได้บนพื้นฐานของ X509 PKI และการมี Tranparency log ซึ่งคล้ายกับโครงการ Certificate transparency

ในขณะนี้โครงการบางส่วนยังอยู่ในช่วงพัฒนา อาทิ ส่วนสำหรับการมอนิเตอร์การทำ Code signing ใหม่ อย่างไรก็ตามส่วนที่เป็น Ledger (rekor), โปรแกรม cosign สำหรับการทำ Signing กับ Container (cosign) และข้อมูลของ Root CA (fulcio) ได้ถูกเปิดเผยออกมาแล้ว

ผู้ที่สนใจสามารถดูข้อมูลเพิ่มเติมได้ที่ sigstore

ที่มา: security