日本語
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
ホームページSigstore: ソフトウェア成果物の信頼のルート
InfoWorld | Dan Lorenc 著
技術者が解剖する新興テクノロジー
インターネットを使用する約 50 億人のうち、トランスポート層セキュリティ (TLS)、デジタル証明書、または公開キーがどのように機能するかを知っているのはほんの一部だけです。 ユーザーが今日もインターネット上で直面しているセキュリティ上の危険についてはなんとでも言えますが、Web サイトとサイト訪問者の間の信頼を構築するこれらのビルディング ブロック プロトコルが、過去 20 年間にわたって大規模なインターネットをうまく処理してきたことは非常に注目に値します。
対照的に、ソフトウェア サプライ チェーンのセキュリティの概念はまだ比較的新しいです。 SolarWinds と Log4j に関する見出しにより、開発者が出所不明のソフトウェア成果物を使用するときに作成されるバックドアについての基本的な認識が生まれました。 しかし、インターネット上で信頼がどのように機能するかについての同じ基本原則を、ソフトウェア成果物とそれを使用する何百万もの開発者の間の信頼の確立にどのように適用できるのでしょうか? ほとんどのソフトウェア開発者は、これを理解しようとする初期段階にいます。
最近、Vint Cerf が初期の Web 公開鍵インフラストラクチャ (PKI) と、新興のアーティファクト署名およびオープンソース署名エコシステムとの類似点について議論しているのを聞きました。 私が印象に残ったのは、インターネット上の信頼の多くは認証局ブラウザ フォーラムのような影響力のあるグループによって推進されていた一方で、これらのプロトコルをブラウザやオペレーティング システムに組み込むことでその使用を促進したということです。 ソフトウェア サプライ チェーンのセキュリティに関しては、これを推進している同等のグループは存在しません。 私たちは皆、オープン コミュニティの方法で、オープンソース プロジェクトの基盤に基づいてそれを機能させています。
この新たなセキュリティ ドメインの進化を把握したい場合、Sigstore (ソフトウェア サプライ チェーンの正規アーティファクト署名プロジェクト) ほど勢いがあり、業界の融合が進んでいるオープンソース プロジェクトはありません。 Sigstore の原則と基本機能のいくつかを見てみましょう。そうすれば、次にパッケージ マネージャーやビルド システムが Sigstore の承認シールを使用していることを確認したときに、その内部に何があるか理解できるようになります。
Web の PKI インフラストラクチャは、Web 認証局 (CA) が信頼されてインターネット上のあらゆるドメインの証明書を発行できるように設計されています。 これらの証明書を悪用から取り締まる (たとえば、CA が銀行の Web サイトなど、自分が管理していないドメインに対して証明書を発行する) ことは、証明書の透明性フレームワークと呼ばれるものです。 これは、「追加専用」の公開台帳を提供するオープン ブロックチェーン フレームワークです。
透明性ログは、開発者やセキュリティ チームが企業のドメイン名に対して発行されたすべての証明書が正しく発行されていることを監視できるため、非常に重要です。 これは、誰かがあなたの会社になりすましてトラフィックを偽装しているかどうかを検出するのに役立ちます。 透明性ログのポイントは、それらの間違いを記録に記録し、後で見つけて回復し、悪影響を軽減できるようにすることです。
Sigstore は、サプライ チェーンのセキュリティにおけるソフトウェア アーティファクトの整合性に関して存在する非常によく似た課題を効果的に解決する方法のインスピレーションとして、Certificate Transparency フレームワーク (および人気のある TLS フレームワークである Let's Encrypt) を取り入れたオープン ソース フレームワークです。 ソフトウェア アーティファクトをダウンロードするとき、それが誰によって作成されたのか、また、ダウンロードしているものと同じアーティファクト (悪意のある偽者ではない) をどのようにして知ることができるのでしょうか? Sigstore は、開発者がリリース ファイル、コンテナ イメージ、バイナリ、SBOM (ソフトウェア部品表) などのソフトウェア アーティファクトに安全に署名できるようにすることで、この問題を解決します。 署名されたマテリアルは、改ざん防止された公開透明性ログに保存されます。
Sigstore を駆動する 3 つの主要なプリミティブがあります。 Sigstore パズル全体を構築するには、これら 3 つをすべて組み合わせる必要がありますが、それらはそれぞれ異なる独立した目的を果たします。