Linux基金会正在启动新的sigstore项目，为软件供应链的各个方面提供更好的安全和保护。新项目将使开发人员能够在开发过程的特定方面进行签名，确保文件和其他资产携带强大的防篡改加密。

sigstore保护软件起源

Linux基金会的sigstore是一个****的非盈利公益软件签名服务，它将利用现有的关键技术更好地保护软件开发供应链。

它还将使用透明的日志记录技术，以便更容易地跟踪软件供应链的“出处、完整性和可发现性”，从而使项目所有者和贡献者更容易信任和监视更改。

简而言之，sigstore可以为软件开发人员提供一个更易于使用和免费的选项来保护与项目相关的重要文件。开发人员可以使用sigstore对发布文件、二进制文件、清单、文档、日志等进行签名。

一旦签名，这些细节就会添加到一个名为rekor的“防篡改公共日志”中，Linux基金会也开发了这个日志。

Users are susceptible to various targeted attacks, along with account and cryptographic key compromise. Keys in particular are a challenge for software maintainers to manage. Projects often have to maintain a list of current keys in use, and manage the keys of individuals who no longer contribute to a project.

圣地亚哥托雷斯阿里亚斯，助理教授电气和计算机工程，普渡大学，是“非常兴奋的前景，一个系统，如sigstore。”

The software ecosystem is in dire need of something like it to report the state of the supply chain. I envision that, with sigstore answering all the questi*** about software sources and ownership, we can start asking the questi*** regarding software destinati***, c***umers, compliance (legal and otherwise), to identify criminal networks and secure critical software infrastructure

相关：如何设置SSL在您的网站上快速和免费的让我们加密

保护易受攻击的软件开发人员

Linux基金会的sigstore项目正把注意力转移到软件开发人员易受攻击的领域。目前，很少有项目主动签署软件工件。它很耗时，需要额外的管理，而且时间通常最好花在其他地方，而不是处理复杂的关键管理机制。

相关：关于HTTPS和SSL证书的神话你不应该相信

目前，许多开发人员选择最简单的方法，将关键的加密密钥隐藏在自述文件或其他易受攻击的地方。使用可能容易访问但缺乏保护的文件会导致灾难，多年来各种GitHub和Bitbucket漏洞就是一个例子。

因此，sigstore至少应该让软件项目的加密密钥管理变得更容易一些，让开发人员可以继续他们真正喜欢的工作。