Google、红帽与Linux基金会共同启动免费的Sigstore开源软件认证专案

Linux基金会、Google、红帽及美国普渡大学在本周二（3/9）宣布启动Sigstore专案，以确保软件维护者、分发者或是消费者都能信赖开放源代码的程式、产出或工具，改善软件供应链的安全性。

现代要安装大多数的开源软件时，通常是拿一个随身碟就把它插到电脑上，不太会在意它的出处、来源或是否遭到窜改。Linux基金会指出，目前只有极少数的开源专案以密码签署软件版本产品，大多数是因为这些软件维护者在金钥管理、金钥外泄/撤销，以及公钥与产出摘要分发上遇见了难题，于是使用者就必须自行寻找可靠的金钥并学习如何验证签章；此外，现在的摘要与公钥的分发也存在着问题，它们可能被置放在不安全的网站上，或是直接曝露于Git储存库的“读我”（Readme）档案上。

然而，如同Let\'s Encrypt执行总监Josh Aas所说：“安全进行软件部署的第一步，就是确定所安装的软件是我们以为的软件。”而Sigstore即是为了验证开放源代码的真实性而诞生。

根据Sigstore专案的规划，该服务将允许所有的软件开发者都能安全地签署软件产出，像是所释出的档案、容器映像档或是二进制文件，并把这些签署的材料存放在不可窜改的公开日志中。于是，所有开源社群都能签署他们的软件，同时结合了出处、完整性与发现能力，以建立一个透明且可供稽核的软件供应链。

上述组织将共同开发Sigstore程式码及操作工具，且Sigstore将免费供所有的开发者及软件供应商使用，不过，现阶段该专案仍属早期发展阶段，可能要一段时日才能完成。