Google, Linux Foundation, RedHat และมหาวิทยาลัย Purdue ได้ร่วมกันเปิดตัวโครงการ Sigstore ภายใต้แนวคิดของที่มีลักษณะคล้ายกับโครงการ Let's Encrypt สำหรับการทำ Code signing
โครงการ Sigstore จะเป็นโครงการฐานข้อมูลการรับรองซอฟต์แวร์, อิมเมจของ Container หรือไบนารี โดยจะเป็นช่องทางให้นักพัฒนาซอฟต์แวร์แบบโอเพนซอร์สสามารถทำ Code signing กับข้อมูลในโครงการของตัวเองได้ฟรี พร้อมกับเป็นช่องทางที่ให้ผู้ใช้งานคนอื่นสามารถตรวจสอบความถูกต้องได้บนพื้นฐานของ X509 PKI และการมี Tranparency log ซึ่งคล้ายกับโครงการ Certificate transparency
ในขณะนี้โครงการบางส่วนยังอยู่ในช่วงพัฒนา อาทิ ส่วนสำหรับการมอนิเตอร์การทำ Code signing ใหม่ อย่างไรก็ตามส่วนที่เป็น Ledger (rekor), โปรแกรม cosign สำหรับการทำ Signing กับ Container (cosign) และข้อมูลของ Root CA (fulcio) ได้ถูกเปิดเผยออกมาแล้ว
ผู้ที่สนใจสามารถดูข้อมูลเพิ่มเติมได้ที่ sigstore
ที่มา: security