CRA Mondays | Происхождение OSS и подписание кода

Некоторые проекты с открытым исходным кодом поддерживаются такими фондами, как Eclipse, Apache или Mozilla, которые зачастую строго контролируют процесс выпуска. Однако такой подход не масштабируется, поэтому большинство проектов с открытым исходным кодом выпускают непроверенные и часто неподписанные релизы. Это нарушает модель доверия, основанную на законе Линуса, основанную на исходном коде. Кроме того, релизы с открытым исходным кодом часто не подписаны, что приводит к значительному снижению безопасности и проблемам с удобством использования. Непроверенная подпись может привести к таким проблемам, как инцидент с XZ Utils в 2024 году.

SignPath Foundation предоставляет бесплатную и безопасную подпись кода для 250 проектов с открытым исходным кодом. Чтобы добиться этого, нам пришлось выйти за рамки ключевых мер безопасности: как мы можем гарантировать безопасность использования релизов?

ТАЙМ-КОДЫ
0:00:00 – Добро пожаловать на CRA Mondays и обзор сессии

0:04:39 – Проблема: Безопасное распространение и подпись кода для OSS

0:09:08 – Требования к проекту: Критерии допуска в Signpath Foundation

0:13:16 – Требования к сборке: Разработка на хостинге, защита веток и элементы управления в стиле SLSA

0:15:12 – Пример проекта: От релиза на GitHub до запроса на подпись

0:17:39 – Пример атаки на цепочку поставок XZ Utils

0:20:25 – Вложенное подписывание: MSI-файлы, EXE-файлы, JAR-файлы и компоненты среды выполнения

0:24:12 – Проблемы подписи кода и модель сертификата/CA Signpath (GlobalSign)

0:30:19 – Взгляд в будущее: Зависимости, аттестации и влияние CRA

0:34:43 – Вопросы и ответы: Аттестации, совместимость и дальнейшие шаги рабочей группы

ОБ ORC
Узнайте больше и присоединяйтесь к обсуждению: orcwg.org