致力推動開源創新的Linux基金會，剛剛宣布了一項旨在通過便捷的加密軟件簽名、提升軟件供應鏈安全性的新服務。BetaNews報導稱，名為“sigstore”的這項輔助，使得軟件開發者能夠輕鬆地對各種軟件工件進行簽名，比如發行文件、容器映像、以及二進製文件。

（傳送門：Sigstore.dev）

通過將簽名材料存儲在防篡改的公共日誌中，Linux 基金會希望sigstore 簽名服務能夠在開源軟件開發領域普及開來。當前的項目創始成員，包括了紅帽、谷歌、以及普渡大學。

紅帽首席技術官辦公室的安全工程負責人Luke Hinds 表示：

sigstore 旨在全面覆蓋凱源代碼社區，允許開發者輕鬆地為軟件提供簽名。結合出處、完整性和可發現性，此舉有助於營造透明且可審核的軟件供應鏈。

在Linux 基金會的主持合作下，我們可以加快sigstore 的相關工作，以促進開源軟件的開發、採用和行業影響力。

此前很少有開源項目使用加密簽名手段，主要原因是軟件維護人員在密鑰管理、撤銷和公鑰分配等工作方面遇到了一定的挑戰。

基於此，許多用戶只能努力尋找受信任的密鑰，並自行學習驗證簽名所需的步驟，更別提公鑰的分發方式還存在著其它問題。

這些公鑰通常存儲在易受黑客攻擊的網站上，甚至放置在公共git 存儲庫的自述（README）文件中。

但隨著sigstore 公共服務的推出，我們可以使用臨時密鑰和信任根來規避上述問題（後者源於開放且可審核的公共透明日誌）。

最後，谷歌開源安全團隊的Dan Lorenc 表示：sigstore 旨在讓所有版本的開源軟件都能夠經過驗證，且允許客戶輕鬆對其展開實際驗證，希望未來這一過程能能夠變得更加容易。