Идея внедрения Sigstore для верификации NPM-пакетов была выставлена на обсуждение в GitHub. По мнению команды NPM, внедрение Sigstore поможет уменьшить риск проведения атак, нацеленных на подмену программных компонентов и зависимостей (supply chain). Другими словами, потенциальное нововведение должно защищать разработчиков, использующих NPM-пакеты от ситуаций, когда учетная запись одного из сопровождающих NPN-пакета будет взломана, а злоумышленники попробуют выпустить обновление с вредоносным кодом внутри.
Это нововведение даст разработчикам пакетов возможность привязывать пакет к его исходному репозиторию и сборочному окружению. Такая система позволит пользователям убедиться, что содержимое пакета соответствует содержимому в исходном репозитории.
Кроме того, Sigstore должен упростить привязку пакета к его исходному коду и повысить безопасность, так как разработчикам не придется сталкиваться со сложностями, связанными с регистрацией и управлением криптографическими ключами. Сервис будет предоставлять сертификаты, заверяющие код цифровыми подписями, а также инструментарий для автоматизации проверки.
Sigstore преподносится как аналог Let’s Encrypt для кода, предоставляющий сертификаты для заверения кода цифровыми подписями и инструментарий для автоматизации проверки. При помощи Sigstore разработчики смогут формировать цифровые подписи для связанных с приложением артефактов, таких как файлы с релизами, образы контейнеров, манифесты и исполняемые файлы. Особенностью Sigstore является то, что используемый для подписи материал отражается в защищённом от внесения изменений публичном логе, который можно использовать для проверки и аудита.
Источник: SecurityLab