The Linux Foundation は、ソフトウェアのサプライ チェーンのあらゆる側面において、より優れたセキュリティと保護を提供するため、新しいシグストア・プロジェクトを立ち上げています。このプロジェクトでは、開発者が開発プロセスの特定の部分に署名することで、ファイルやその他の資産に強力で改ざんされにくい暗号を持たせることができるようになります。

シグストア・プロテクション・ソフトウェアの起源

The Linux Foundation の sigstore は、ソフトウェア開発のサプライ チェーンをより良く保護するために、既存の主要技術を活用した **** 非営利の公益ソフトウェア署名サービスです。

また、透明性の高いログ技術を使用して、ソフトウェアのサプライチェーンの「出所、完全性、発見性」の追跡を容易にし、プロジェクトオーナーや貢献者が変更を信頼し監視することを容易にする予定です。

つまり、sigstoreはソフトウェア開発者に、プロジェクトに関連する重要なファイルを保護するための使いやすい無料のオプションを提供することができるのです。開発者は、sigstoreを使用して、リリースファイル、バイナリ、マニフェスト、ドキュメント、ログなどに署名することができます。

署名されると、これらの詳細は、同じくLinux Foundationが開発したrekorと呼ばれる「改ざん防止用公開ログ」に追加される。

ユーザーは、アカウントや暗号鍵の漏洩に加え、様々な標的型攻撃を受ける可能性があります。特にキーは、ソフトウェアメンテナにとって管理の難しい課題です。プロジェクトでは、現在使用されている鍵のリストを管理し、プロジェクトに貢献しなくなった個人の鍵を管理する必要があることがよくあります。

パデュー大学電気・コンピュータ工学部助教授のSantiago Torres Arias氏は、"Sigstoreのようなシステムの実現にとても期待しています "と述べています。

ソフトウェア・エコシステムは、サプライチェーンの状態を報告するこのようなものを切実に必要としているのです。シグストアがソフトウェアのソースや所有権に関するあらゆる質問に答えてくれるようになれば、ソフトウェアの仕向け先、使用者、コンプライアンス（法的、その他）に関する質問を始め、犯罪ネットワークを特定し、重要なソフトウェア基盤を安全に保護することができるようになると考えています。

関連：ウェブサイトに素早く、無料でSSLを設定し、暗号化を可能にする方法

脆弱なソフトウェア開発者を保護する

Linux Foundationのシグストア・プロジェクトは、ソフトウェア開発者が攻撃に対して脆弱な分野に目を向けています。現在、ソフトウェア成果物に積極的に署名するプロジェクトはほとんどありません。また、複雑な鍵管理の仕組みを扱うよりも、他のことに時間を使った方が良い場合が多いのです。

関連：信じてはいけないHTTPSとSSL証明書に関する迷信

現在、多くの開発者は最も単純な方法を選び、重要な暗号鍵を自称ファイルや他の脆弱な場所に隠しています。GitHubやBitbucketの脆弱性に代表されるように、簡単にアクセスできるにもかかわらず保護されていないファイルを使用することは、災難につながる可能性があります。

ですから、少なくともsigstoreは、ソフトウェアプロジェクトの暗号鍵の管理を少しでも楽にし、開発者が本当に好きな仕事に専念できるようにする必要があります。