Sigstore im Überblick: Sicherung der Software-Supply-Chain

Der kostenlose Signierdienst Sigstore hilft Entwicklern dabei, die Integrität von Open Source Software zu überprüfen und sicherzustellen. [...]

Vorfälle wie die von SolarWinds und Log4j haben die Sicherheit der gesamten Supply Chain von Software in den Mittelpunkt gerückt. Sie haben auch Sicherheitsteams auf die Suche nach Tools für die Integrität von Software von Drittanbietern gebracht. Die Nutzung von Software ist allgegenwärtig, denn laut Weltwirtschaftsforum (WEF) machen digitale Plattformen inzwischen 60 % des BIP aus. Während die Art und Weise, wie wir Software nutzen, die Welt verändert hat und weiter verändert, fehlt es an Methoden zur Gewährleistung der Integrität von Software, die aus dem gesamten Ökosystem bezogen wird. In der Software-Supply-Chain werden häufig keine digitalen Signaturen verwendet, und wenn doch, dann kommen in der Regel herkömmliche digitale Signierverfahren zum Einsatz, die sich nur schwer automatisieren und prüfen lassen.

Definition von Sigstore

Wie der Miterfinder von sigstore und Chainguard-Gründer Dan Lorenc es ausdrückt, ist sigstore „ein kostenloser Signierdienst für Software-Entwickler, der die Sicherheit der Software-Supply-Chain verbessert, indem er die einfache Einführung von kryptografischer Software-Signierung ermöglicht, die durch Transparenz-Protokoll-Technologien unterstützt wird.“

Wer hat Sigstore bereits implementiert?

Nicht nur das Sigstore-Team sieht den Wert der vorgeschlagenen Technologie. Kubernetes kündigte an, dass es sigstore standardisiert und in seiner neuesten Version 1.24 verwendet. Dadurch können Kubernetes-Kunden sicherstellen, dass die von ihnen verwendete Distribution auch wirklich die richtige ist. Zusätzlich zu dieser Befürwortung haben die Linux Foundation und OpenSSF vor kurzem den „The Open Source Software Security Mobilization Plan“ veröffentlicht, der den Schwerpunkt auf digitale Signaturen legt, um das Vertrauen in die Software-Supply-Chain zu stärken. Der vorgeschlagene Ansatz beinhaltet die Verwendung des Sigstore-Projekts aufgrund seiner kritischen Komponenten wie einer Zertifizierungsstelle, Transparenzprotokollen und Ökosystem-spezifischen Bibliotheken.

Wie funktioniert sigstore?

Sigstore wurde gegründet, um einige der bestehenden Lücken in der Software-Supply-Chain von Open Source Software (OSS) zu schließen und zu zeigen, wie wir mit Integrität, digitalen Signaturen und der Überprüfung der Authentizität von OSS-Komponenten umgehen. Dies ist von entscheidender Bedeutung, da 90 % der IT-Führungskräfte OSS verwenden. Unternehmen stellen vorrangig OSS-Talente ein, und wir haben mehrere bemerkenswerte Vorfälle in der Software-Supply-Chain erlebt, wie bereits erwähnt.

Sigstore vereint mehrere OSS-Tools wie Fulcio, Cosign und Rekor, um bei der digitalen Signierung, Verifizierung und Überprüfung der Code Provenance zu helfen. Die Code Provenance ist die Möglichkeit, einen Nachweis darüber zu führen, woher der Code stammt und von wem. Das Datenschutz- und Sicherheitsteam von Uber hat einen ausgezeichneten Blogbeitrag veröffentlicht, in dem es beschreibt, wie es den Weg zur Code Provenance angeht.

Fulcio

Packen wir einige der Kernkomponenten von Sigstore aus und beginnen wir mit Fulcio. Fulcio ist eine Root-Zertifizierungsstelle (CA), die sich auf das Signieren von Code konzentriert. Sie ist kostenlos und stellt Zertifizierungen aus, die an OpeID Connect (OIDC) gebunden sind, und verwendet häufig vorhandene Identifikatoren, mit denen Entwickler bereits assoziiert sind. Mit der schnellen Einführung und dem Wachstum von Cloud-nativen Architekturen und dem Einsatz von Containern ist das Signieren von Containern zu einer wichtigen Best Practice für die Sicherheit geworden.

Das Key Management ist eine mühsame Tätigkeit, die oft als verwalteter Service von Cloud Service Providern (CSPs) oder Drittanbietern angeboten wird. Sigstore trägt dazu bei, einen Teil dieser Komplexität durch die Art und Weise, wie es Cosign unterstützt, abzumildern, indem es einige der Herausforderungen des Key Managements durch „schlüsselloses Signieren“ mittels ephemerer oder temporärer Keys erleichtert. Trotz der Verwendung von ephemeren Schlüsseln können Sie die Gültigkeit von Signaturen durch Fulcios Zeitstempel-Service sicherstellen.

Cosign

Hier kommt Cosign ins Spiel, denn es unterstützt Signieroptionen und kann nahtlos die Erzeugung von Schlüsselpaaren und das Signieren von Container-Artefakten für die Speicherung in einer Container-Registry unterstützen. Dies ermöglicht es Cloud-nativen Umgebungen, den Container anhand eines öffentlichen Schlüssels zu validieren und sicherzustellen, dass der Container von einer vertrauenswürdigen Quelle signiert wurde. Das digitale Signieren von Image-Artefakten während der Erstellung und die Validierung dieser Signaturen ist eine wichtige Best Practice für die Sicherheit, die im Cloud Native Computing Foundation (CNCF) Cloud Native Security Whitepaper hervorgehoben wird.

Rekor

Als Nächstes ist Rekor zu nennen, ein unveränderliches und fälschungssicheres Verzeichnis, das im Rahmen der Softwarewartung und -erstellung erstellt wird. Es ermöglicht Software-Nutzern, die Metadaten zu untersuchen und risikobasierte Entscheidungen über die Software, die sie verwenden, und die damit verbundenen Aktivitäten während des gesamten Lebenszyklus zu treffen. Um auf unseren vorherigen Punkt zur Software Provenance zurückzukommen: Entwickler können Rekor nutzen, um über das Transparenzprotokoll zur Provenance von Software beizutragen.

Ein weiterer bemerkenswerter Hinweis sind die aufkommenden Richtlinien wie Supply Chain Levels for Software Artifacts (SLSA) und das Secure Software Development Framework (SSDF) von NIST. SLSA Level 3 betont die Notwendigkeit, die Quelle und die Integrität der Provenance von Software zu prüfen, was von sigstore unterstützt wird. Spezifische Praktiken, die im SSDF genannt werden, weisen auch auf die Notwendigkeit hin, Provenance- und Verifikationsmechanismen bereitzustellen. Dies ist von Bedeutung, da die US-Bundesregierung dazu übergeht, von Softwareherstellern, die an die Regierung verkaufen, zu verlangen, dass sie die im SSDF beschriebenen Praktiken einhalten. Mit der Einführung von sigstore können Sie Ihr Unternehmen so positionieren, dass es sich an die hier erörterten neuen Standards und Best Practices anpasst und kritische Risiken in der Software-Supply-Chain, die zu einem Sicherheitsrisiko und den damit verbundenen Konsequenzen führen könnten, minimiert.

Wie sieht die Zukunft von sigstore aus?

Wir stehen erst am Anfang der Übernahme des Sigstore-Projekts durch den Markt. Mit der Unterstützung durch führende OSS-Projekte wie Kubernetes und dem OSS Security Mobilization Plan von The Linux Foundation und OpenSSF sieht die Zukunft jedoch vielversprechend aus.

Mit der zunehmenden Verbreitung von OSS und dem Bestreben von Unternehmen, ihre Software-Supply-Chain-Praktiken zu verbessern, stellt Sigstore eine wichtige Gelegenheit für das Ökosystem dar, Schlüsselbereiche rund um digitale Signaturen, Authentizität und Integrität abzudecken. Beim Risikomanagement geht es vor allem darum, informierte Entscheidungen zu treffen, und robuste Details über die Herkunft von Software-Artefakten und die an ihrer Erstellung und Verteilung beteiligten Personen sind von entscheidender Bedeutung. Hier glänzt das sigstore-Projekt und wird wahrscheinlich auch weiterhin eine schnelle Akzeptanz in der gesamten Geschäftswelt erfahren.

*Chris Hughes ist derzeit als CISO und Mitbegründer von Aquia tätig. Chris Hughes verfügt über fast 20 Jahre Erfahrung im Bereich IT/Cybersecurity. Er war im aktiven Dienst bei der U.S. Air Force, als Beamter bei der U.S. Navy und der General Services Administration (GSA)/FedRAMP sowie als Consultant in der Privatwirtschaft tätig. Darüber hinaus ist er Lehrbeauftragter für Masterprogramme im Bereich Cybersicherheit an der Capitol Technology University und der University of Maryland Global Campus.