In NPM plant man, Sigstore zur BestÀtigung der AuthentizitÀt von Paketen zu verwenden.

GitHub hat einen Vorschlag zur Diskussion gestellt, um den Sigstore-Dienst zur Verifizierung von Paketen mittels digitaler Signaturen und zur FĂŒhrung eines öffentlichen Logs zur BestĂ€tigung der AuthentizitĂ€t bei der Verbreitung von Releases einzufĂŒhren. Der Einsatz von Sigstore ermöglicht es, eine zusĂ€tzliche Schutzebene gegen Angriffe zu implementieren, die auf die Manipulation von Softwarekomponenten und AbhĂ€ngigkeiten (Supply Chain) abzielen. So wird beispielsweise die eingefĂŒhrte Änderung den Quellcode von Projekten schĂŒtzen, falls das Konto eines Entwicklers einer der AbhĂ€ngigkeiten in NPM kompromittiert wird und ein Angreifer ein Paketupdate mit schĂ€dlichem Code erstellt.

Dank des neuen Schutzlevels können Entwickler das erstellte Paket mit dem verwendeten Quellcode und der Build-Umgebung verknĂŒpfen, sodass der Benutzer sicherstellen kann, dass der Inhalt des Pakets mit dem der Quelltexte im Hauptrepository des Projekts ĂŒbereinstimmt. Der Einsatz von Sigstore vereinfacht den SchlĂŒsselmanagementprozess erheblich und beseitigt die Schwierigkeiten, die mit der Registrierung, dem Widerruf und dem Management kryptografischer SchlĂŒssel verbunden sind. Sigstore wird als Pendant zu Let’s Encrypt fĂŒr Code prĂ€sentiert, das Zertifikate zur Beglaubigung von Code durch digitale Signaturen und Tools zur Automatisierung der ÜberprĂŒfung bereitstellt.

Statt permanenter SchlĂŒssel verwendet Sigstore kurzlebige, ephemeral SchlĂŒssel, die basierend auf den Berechtigungen generiert werden. Das Material, das zur Signierung verwendet wird, wird in einem manipulationssicheren öffentlichen Log festgehalten, das sicherstellt, dass der Unterzeichner tatsĂ€chlich der ist, fĂŒr den er sich ausgibt, und dass die Unterschrift vom selben Teilnehmer erstellt wurde, der fĂŒr frĂŒhere Releases verantwortlich war. Um die IntegritĂ€t zu gewĂ€hrleisten und eine nachtrĂ€gliche Datenmanipulation zu verhindern, wird eine baumartige Struktur, das sogenannte "Merkle-Baum" (Merkle Tree), eingesetzt, bei dem jeder Ast alle darunter liegenden Äste und Knoten durch gemeinsames (baumartiges) Hashing verifiziert. Mit einem endgĂŒltigen Hash kann der Benutzer die Richtigkeit der gesamten Betriebshistorie sowie die Korrektheit frĂŒherer DatenbankzustĂ€nde ĂŒberprĂŒfen (der Wurzel-Referenzhash des neuen Zustands der Datenbank wird unter BerĂŒcksichtigung des vorhergehenden Zustands berechnet).

Quelle: opennet.ru

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster