Linux Foundation、オープンソースソフトウェアの署名を容易にする「Sigstore」

 非営利団体Linux Foundationは3月9日(米国時間)、最新のプロジェクト「Sigstore」を発表した。リリースファイルへの署名を容易にすることで、ソフトウェアサプライチェーン攻撃に対する保護対策を進める狙い。

 Sigstoreは、x.509 PKIと透明性のあるログ(Transparency Logs)を組み合わせたソフトウェア署名サービス。これを使ってリリースファイル、コンテナイメージ、バイナリなどのソフトウェアアーティファクトへの署名を行うことができる。

 2020年末に米Solarwindsのプラットフィームを悪用した攻撃が行われていたことが確認されるなど、アップデートの仕組みを悪用するサプライチェーン攻撃の問題が指摘されている。Linux Foundationによると、オープンソースソフトウェアでソフトウェアアーティファクトに署名をしているケースは少なく、その原因としてソフトウェアメンテナーが、鍵の管理や公開鍵の配布などを簡単に行うことができないためと指摘している。

 Sigstoreはソフトウェアメンテナーの署名とユーザーの確認を容易にすることを目的とするプロジェクト。Sigstoreクライアントツールで一時的な鍵のペアを生成し、OpenIDの仕組みを利用してPKIサービスが署名証明書を提供する。証明書などは全てTransparency Logsに記録されるため、不正を検出がしやすいとしている。鍵の配布については、コード署名向けの特別なRoot CAを用意し、無償で利用できるようにした。

 SigstoreプロジェクトはGoogle(米Alphabet傘下)、Red Hat(米IBM傘下)、パデュー大学が設立メンバーとして参加している。非営利のソフトウェアとして提供、透明性のあるログ技術を使った暗号ソフトウェアの署名を可能にすることで、サプライチェーン攻撃に対する保護対策を行うことができるとしている。

The Linux Foundation
https://linuxfoundation.org/
Sigstore
https://sigstore.dev