RSS Блог "След бит"
Подписаться
Обнаружение вредоносных релизов пакетов с использованием журнала прозрачности
Проект направлен на улучшение rekor-monitor Sigstore для производственного использования, финансируемый OpenSSF, для обнаружения несанкционированного доступа и использования идентификационных данных в журнале Rekor. Rekor действует как журнал прозрачности, создавая записи, защищенные от несанкционированного доступа, но отдельные записи по своей сути не заслуживают доверия без мониторинга. Цель состоит в том, чтобы упростить разработчикам активный мониторинг журнала на предмет непредвиденных записей, особенно в отношении сопровождающих пакеты. Журналы прозрачности проверяют соответствие дайджестов предполагаемой зависимости, используя деревья Меркла. Мониторинг имеет решающее значение, и rekor-monitor позволяет пользователям проверять записи на предмет несанкционированного доступа и неожиданного использования идентификационных данных в журнале. Например, сопровождающий может отслеживать свою идентификацию, чтобы обнаружить компрометацию во время загрузки пакетов. В рамках этого проекта реализованы новые функции, такие как поддержка журнала Rekor v2, проверка сертификатов и интеграция с The Update Framework (TUF). Это также включает в себя многоразовый рабочий процесс GitHub для упрощения мониторинга для всех, у кого есть репозиторий. Будущие планы включают в себя размещенный сервис для предоставления оповещений о новых записях в журнале на основе идентификационных данных пользователей, аналогичный GopherWatch. Проект, финансируемый OpenSSF, направлен на повышение безопасности программного обеспечения с открытым исходным кодом путем обеспечения безопасности экосистемы Sigstore.
