写点什么

Kubernetes 将大量采用 Sigstore 来保护开源生态系统

  • 2022-05-05
  • 本文字数:1916 字

    阅读完需:约 6 分钟

Kubernetes将大量采用Sigstore来保护开源生态系统

Kubernetes 1.24 是第一个正式使用 Sigstore 的版本,能够无缝验证签名,以防止 560 万开发者社区遭受供应链攻击


Kubernetes 和 Sigstore 社区宣布,Kubernetes 将在生产中采用 Sigstore 来签署工件和验证签名,这使得 Kubernetes 用户第一次能够验证他们正在使用的发行版正是它所声称的。


去年刚刚推出的 Sigstore 是一项面向软件开发人员的免费签名服务,它通过实现由透明日志技术支持的加密软件签名的轻松采用,提高了软件供应链的安全性。它迅速成为签名、验证和保护软件的标准,因为它能够自动进行数字签名和检查软件工件,使软件具有更安全的监管链,可以追溯到源头。


今天发布的 Kubernetes 1.24 以及所有未来的版本都将包括加密签名的 Sigstore 证书,使用户能够验证签名,并对每个已部署的 Kubernetes 二进制文件、源代码包和容器镜像的来源更有信心。


“这是保护 Kubernetes 生态系统完整性的巨大一步,表明由于供应链攻击的增加,大规模代码签名是可能的,坦率地说是必要的。”Chainguard 开源负责人 Tracy Miranda 表示:“这种采用和集成是与多个利益相关方数月合作的结果,也是对开源协作力量的证明。”


“很高兴看到 sigstore 的采用,特别是像 Kubernetes 这样的项目,它运行许多需要最大限度保护的关键工作负载,”Red Hat CTO 安全工程主管、Kubernetes 安全响应团队成员、sigstore 项目创始人 Luke Hinds 说。


“Kubernetes 是一个众所周知并被广泛采用的开源项目,它可以激励其他开源项目通过遵循 SLSA 等级,并使用 Sigstore 签名来提高他们的软件供应链安全性,”Google 软件工程师、Sigstore TSC 成员和项目创始人 Bob Callaway 说。“我们将 Sigstore 打造得简单、免费、无缝,这样它就会被广泛采用,并保护我们免受供应链攻击。Kubernetes 选择使用 Sigstore 就是对这项工作的证明。”


2021 年初,Kubernetes 发布团队开始探索 SLSA 合规性,以提高 Kubernetes 软件供应链的安全性。SLSA 是一个安全框架,包括一个标准和控制清单,以防止篡改,提高完整性,并保护你的项目,业务或企业的软件包和基础设施。Sigstore 是实现 SLSA 2 级标准的关键项目,也是实现 SLSA 3 级标准的开端,Kubernetes 社区希望在今年 8 月实现这一目标。


Sigstore 还为 Kubernetes 社区带来了各种好处,包括:


  • Sigstore 的无密钥签名为开发人员提供了良好的体验,并且消除了痛苦的密钥管理需求。

  • Sigstore 的公共透明日志(Rekor[1])和 API 意味着 Kubernetes 的消费者可以很容易地验证签名的工件。

  • Sigstore 对标准的使用,例如对任何 OCI(Open Container Initiative)工件(包括容器、Helm Charts、配置文件和策略包)和 OIDC(OpenID Connect)的支持,意味着它可以与其他工具和服务无缝集成。

  • 非常活跃的、开源的和厂商中立的 Sigstore 社区给了我们信心,相信这个项目会很快被采用并成为事实上的行业标准。


“多年来,SIG Release 一直致力于逐步增强 Kubernetes 项目版本的健壮性。这一最新的声明,以及开源社区之间的合作使之成为可能,是在行业内越来越意识到软件供应链和开源项目发布是一个我们都必须努力改进的关键领域的背景下出现的。安全是一个永无止境的旅程,但为降低攻击者破坏我们供应链完整性的能力而采取的每一步都非常重要。”VMware 开源技术中心负责人、Kubernetes 指导委员会和荣誉退休 SIG Release 负责人 Tim Pepper 说。


“我个人为整个 SIG 发布团队感到骄傲,尤其是发布工程子项目。我们设法交付了一个重要的里程碑,作为我们总体路线图和愿景[2]的一部分,为 Kubernetes 建立一个可消费、可内省且安全的供应链。为供应链安全树立榜样是我们目前最重要的工作之一。在 Kubernetes v1.24 发布周期中,我们设法完成了 50 多个 GitHub 问题,并且只为容器镜像签名的 MVP(最低价值产品,Minimum Valuable Product)拉请求,这对整个团队来说是一个巨大的成就!我谨代表 SIG 发布领导团队再次向你表示感谢,我们期待着供应链安全的美好未来,”Kubernetes SIG Release 主席兼 RedHat 高级软件工程师 Sascha Grunert 说道。


除了数百万直接或间接使用 Kubernetes 的开发人员之外,这也有利于公司中所有旨在符合最近的 NIST 安全软件开发框架(SSDF)要求的人。(参见 Sigstore + NIST SSDF[3])。


更多关于 Sigstore 的信息,请访问:https://www.sigstore.dev/

参考资料

[1]Rekor: https://github.com/sigstore/rekor

[2]路线图和愿景: https://github.com/kubernetes/sig-release/blob/master/roadmap.md

[3]Sigstore + NIST SSDF: https://blog.chainguard.dev/how-sigstore-can-help-you-and-your-team-follow-the-nist-ssdf-recommendations/


原文链接:https://mp.weixin.qq.com/s/VjXOEGjDPWyq4AWfj9-NZw

2022-05-05 09:446082

评论 1 条评论

发布
用户头像
2022-05-06 11:31
回复
没有更多了
发现更多内容

6W+字记录实验全过程 | 探索Alluxio经济化数据存储策略

Alluxio

数据湖 数据膨胀 降本增效 Alluxio 大数据 开源

CSDN Meetup 回顾 丨从数据湖到指标中台,提升数据分析 ROI

Kyligence

数据分析 指标中台

不懂点儿统计学,《星球大战》白看了

图灵教育

统计学 贝叶斯定理

大数据开发技术入门学习方法有哪些

小谷哥

TMECH发表优必选运控技术最新进展:实现人形机器人高鲁棒性行走

优必选科技

如何有效规避代码被“投毒”?

安势信息

许可证 代码安全 开源软件 安全合规检测 开源软件供应链

SpringBoot到底是什么

华为云开发者联盟

开发 springboot parent

华为云:一切皆服务,共建全场景智慧金融

极客天地

如何学习好web前端开发技术知识

小谷哥

尚硅谷SSM新版视频教程发布

小谷哥

7月《中国数据库行业分析报告》发布!居安思危,安全先行

墨天轮

数据库 腾讯云 阿里云 国产数据库 数据库安全

商城异地多活架构设计

泋清

#架构训练营

ICASSP 2022 | 用于多模态情感识别的KS-Transformer

优必选科技

人工智能 多模态机器学习

NFT链游戏系统开发元宇宙GameFi搭建

薇電13242772558

dapp NFT 元宇宙

国产操作系统生态建设,小程序技术来帮忙

Speedoooo

小程序 国产操作系统 小程序容器 桌面应用

LP流动性质押挖矿系统开发详细程序

开发微hkkf5566

openGauss内核分析:查询重写

华为云开发者联盟

数据库 后端 查询 SQL语言 openGauss内核

纯css实现:如何做个完美的平行四边形

南极一块修炼千年的大冰块

7月月更

深圳web前端技术学习费用是多少?尚硅谷前端培训

小谷哥

ModuleNotFoundError_No_module_named通俗的解释和方法

和牛

测试

视频聊天源码——一对一直播系统源码

开源直播系统源码

软件开发 直播系统源码 开源源码

洞见科技纪凯:隐私计算助力「全链路」金融客户经营

洞见科技

隐私计算

李宏毅《机器学习》丨4. Deep Learning(深度学习)

AXYZdong

机器学习 7月月更

21条最佳实践,全面保障 GitHub 使用安全

SEAL安全

GitHub 安全

业务出海,灵感乍现前要先「把手弄脏」

融云 RongCloud

带你认识一下数仓的分区自动管理

华为云开发者联盟

数据库 后端 分区

如何用度量数据驱动代码评审的改善

思码逸研发效能

数据分析 研发效能 科技 效能度量

零基础如何学习大数据开发知识

小谷哥

直播预告 | 7月22日《开源安全治理模型和工具》线上研讨会

安势信息

开源安全 SCA工具 开源软件供应链 SBOM SLSA

ES6 类聊 JavaScript 设计模式之创建型模式

devpoint

JavaScript 设计模式 工厂模式 7月月更 创造性模式

单元测试,写起来到底有多痛?你会了吗

C++后台开发

网络编程 单元测试 后端开发 Linux服务器开发 C++开发

Kubernetes将大量采用Sigstore来保护开源生态系统_语言 & 开发_CNCF_InfoQ精选文章