투명성 로그를 사용하여 악성 패키지 릴리스 감지
이 프로젝트는 OpenSSF의 지원을 받아 Sigstore의 rekor-monitor를 프로덕션 환경에서 사용할 수 있도록 개선하는 데 초점을 맞추고 있습니다. Rekor 로그에서 변조 및 무단 신원 사용을 탐지하는 것이 목표입니다. Rekor는 투명성 로그 역할을 하며, 변조 방지 기록을 생성하지만, 개별 항목은 모니터링 없이는 본질적으로 신뢰할 수 없습니다. 개발자가 예상치 못한 항목, 특히 패키지 관리자와 관련된 항목을 능동적으로 모니터링할 수 있도록 쉽게 만드는 것이 목표입니다. 투명성 로그는 다이제스트가 의도된 종속성과 일치하는지 확인하며, Merkle 트리를 활용합니다. 모니터링은 매우 중요하며, rekor-monitor를 통해 사용자는 로그 내에서 항목 변조 및 예상치 못한 신원 사용을 확인할 수 있습니다. 예를 들어, 관리자는 패키지 업로드 중 자신의 신원이 손상되었는지 감지하기 위해 자신의 신원을 모니터링할 수 있습니다. 이 프로젝트는 Rekor v2 로그 지원, 인증서 유효성 검사, The Update Framework (TUF)와의 통합과 같은 새로운 기능을 구현했습니다. 또한, 누구나 쉽게 모니터링할 수 있도록 재사용 가능한 GitHub 워크플로우도 포함되어 있습니다. 향후 계획으로는 GopherWatch와 유사하게 사용자의 신원을 기반으로 새로운 로그 항목에 대한 알림을 제공하는 호스팅 서비스를 제공하는 것입니다. OpenSSF의 지원을 받는 이 프로젝트는 Sigstore 생태계를 보호함으로써 오픈 소스 소프트웨어의 보안을 향상시키는 것을 목표로 합니다.
