AI 年度盘点与2025发展趋势展望,50+案例解析亮相AICon 了解详情
写点什么

Kubernetes 将大量采用 Sigstore 来保护开源生态系统

  • 2022-05-05
  • 本文字数:1916 字

    阅读完需:约 6 分钟

Kubernetes将大量采用Sigstore来保护开源生态系统

Kubernetes 1.24 是第一个正式使用 Sigstore 的版本,能够无缝验证签名,以防止 560 万开发者社区遭受供应链攻击


Kubernetes 和 Sigstore 社区宣布,Kubernetes 将在生产中采用 Sigstore 来签署工件和验证签名,这使得 Kubernetes 用户第一次能够验证他们正在使用的发行版正是它所声称的。


去年刚刚推出的 Sigstore 是一项面向软件开发人员的免费签名服务,它通过实现由透明日志技术支持的加密软件签名的轻松采用,提高了软件供应链的安全性。它迅速成为签名、验证和保护软件的标准,因为它能够自动进行数字签名和检查软件工件,使软件具有更安全的监管链,可以追溯到源头。


今天发布的 Kubernetes 1.24 以及所有未来的版本都将包括加密签名的 Sigstore 证书,使用户能够验证签名,并对每个已部署的 Kubernetes 二进制文件、源代码包和容器镜像的来源更有信心。


“这是保护 Kubernetes 生态系统完整性的巨大一步,表明由于供应链攻击的增加,大规模代码签名是可能的,坦率地说是必要的。”Chainguard 开源负责人 Tracy Miranda 表示:“这种采用和集成是与多个利益相关方数月合作的结果,也是对开源协作力量的证明。”


“很高兴看到 sigstore 的采用,特别是像 Kubernetes 这样的项目,它运行许多需要最大限度保护的关键工作负载,”Red Hat CTO 安全工程主管、Kubernetes 安全响应团队成员、sigstore 项目创始人 Luke Hinds 说。


“Kubernetes 是一个众所周知并被广泛采用的开源项目,它可以激励其他开源项目通过遵循 SLSA 等级,并使用 Sigstore 签名来提高他们的软件供应链安全性,”Google 软件工程师、Sigstore TSC 成员和项目创始人 Bob Callaway 说。“我们将 Sigstore 打造得简单、免费、无缝,这样它就会被广泛采用,并保护我们免受供应链攻击。Kubernetes 选择使用 Sigstore 就是对这项工作的证明。”


2021 年初,Kubernetes 发布团队开始探索 SLSA 合规性,以提高 Kubernetes 软件供应链的安全性。SLSA 是一个安全框架,包括一个标准和控制清单,以防止篡改,提高完整性,并保护你的项目,业务或企业的软件包和基础设施。Sigstore 是实现 SLSA 2 级标准的关键项目,也是实现 SLSA 3 级标准的开端,Kubernetes 社区希望在今年 8 月实现这一目标。


Sigstore 还为 Kubernetes 社区带来了各种好处,包括:


  • Sigstore 的无密钥签名为开发人员提供了良好的体验,并且消除了痛苦的密钥管理需求。

  • Sigstore 的公共透明日志(Rekor[1])和 API 意味着 Kubernetes 的消费者可以很容易地验证签名的工件。

  • Sigstore 对标准的使用,例如对任何 OCI(Open Container Initiative)工件(包括容器、Helm Charts、配置文件和策略包)和 OIDC(OpenID Connect)的支持,意味着它可以与其他工具和服务无缝集成。

  • 非常活跃的、开源的和厂商中立的 Sigstore 社区给了我们信心,相信这个项目会很快被采用并成为事实上的行业标准。


“多年来,SIG Release 一直致力于逐步增强 Kubernetes 项目版本的健壮性。这一最新的声明,以及开源社区之间的合作使之成为可能,是在行业内越来越意识到软件供应链和开源项目发布是一个我们都必须努力改进的关键领域的背景下出现的。安全是一个永无止境的旅程,但为降低攻击者破坏我们供应链完整性的能力而采取的每一步都非常重要。”VMware 开源技术中心负责人、Kubernetes 指导委员会和荣誉退休 SIG Release 负责人 Tim Pepper 说。


“我个人为整个 SIG 发布团队感到骄傲,尤其是发布工程子项目。我们设法交付了一个重要的里程碑,作为我们总体路线图和愿景[2]的一部分,为 Kubernetes 建立一个可消费、可内省且安全的供应链。为供应链安全树立榜样是我们目前最重要的工作之一。在 Kubernetes v1.24 发布周期中,我们设法完成了 50 多个 GitHub 问题,并且只为容器镜像签名的 MVP(最低价值产品,Minimum Valuable Product)拉请求,这对整个团队来说是一个巨大的成就!我谨代表 SIG 发布领导团队再次向你表示感谢,我们期待着供应链安全的美好未来,”Kubernetes SIG Release 主席兼 RedHat 高级软件工程师 Sascha Grunert 说道。


除了数百万直接或间接使用 Kubernetes 的开发人员之外,这也有利于公司中所有旨在符合最近的 NIST 安全软件开发框架(SSDF)要求的人。(参见 Sigstore + NIST SSDF[3])。


更多关于 Sigstore 的信息,请访问:https://www.sigstore.dev/

参考资料

[1]Rekor: https://github.com/sigstore/rekor

[2]路线图和愿景: https://github.com/kubernetes/sig-release/blob/master/roadmap.md

[3]Sigstore + NIST SSDF: https://blog.chainguard.dev/how-sigstore-can-help-you-and-your-team-follow-the-nist-ssdf-recommendations/


原文链接:https://mp.weixin.qq.com/s/VjXOEGjDPWyq4AWfj9-NZw

2022-05-05 09:445941

评论 1 条评论

发布
用户头像
2022-05-06 11:31
回复
没有更多了
发现更多内容

Docker的Image

陈磊@Criss

分布式定时任务调度框架实践

vivo互联网技术

大数据 分布式 框架

jmeter 执行python脚本

陈磊@Criss

微信小程序的自动化测试框架

陈磊@Criss

人人都可以掌握的正交试验设计测试用例方法

陈磊@Criss

国内程序员最容易发音错误的单词集合

程序员生活志

程序员 经验总结

企业微信群消息机器人发送开源项目

陈磊@Criss

DockerFile 详解

陈磊@Criss

Kafka实战宝典:一文带解决Kafka常见故障处理

数据社

kafka 监控

好玩又好用,一款轻松就可以实现音视频的Demo

anyRTC开发者

音视频 移动互联网 RTC anyRTC Demo

一文道尽“表驱动法”

架构精进之路

编码 表驱动法

PIP的报错Could not fetch URL https://pypi.org/

陈磊@Criss

Docker 容器连接

陈磊@Criss

快速掌握的测试用例优先级划分方法

陈磊@Criss

Kafka实战宝典:如何跨机房传输数据

数据社

大数据 kafka 跨机房

国家央行数字货币的优势与挑战

CECBC

数字货币 央行 商业银行

该了解一波了!零基础入门Nginx

程序员的时光

nginx Docker

Docker的Image

陈磊@Criss

告别下载速度慢!Docker配置阿里云镜像仓库

程序员的时光

Docker 阿里云

pipreqs:生成python项目的requirements

陈磊@Criss

最受欢迎的男友职业排行榜Top10

程序员生活志

程序员

Git使用教程:最详细、最傻瓜、最浅显、真正手把手教!

程序员生活志

git

你还应该知道的哈希冲突解决策略

vivo互联网技术

哈希冲突

华章25周年活动——《迁移学习》限量5折!

华章IT

Nginx的容器部署

陈磊@Criss

如何选择一个性能测试工具(LoadRunner和Locust的一次对比)

陈磊@Criss

优质单元测试的十大标准,你有遵循吗?

禅道项目管理

项目管理 单元测试 自动化测试

聊聊微前端的原理和实践

vivo互联网技术

大前端

Git删除仓库中的文件和文件夹

陈磊@Criss

Python的Twisted事件驱动的网络引擎框架

陈磊@Criss

Java的Override和Overload

陈磊@Criss

Kubernetes将大量采用Sigstore来保护开源生态系统_语言 & 开发_CNCF_InfoQ精选文章