写点什么

Kubernetes 将大量采用 Sigstore 来保护开源生态系统

  • 2022-05-05
  • 本文字数:1916 字

    阅读完需:约 6 分钟

Kubernetes将大量采用Sigstore来保护开源生态系统

Kubernetes 1.24 是第一个正式使用 Sigstore 的版本,能够无缝验证签名,以防止 560 万开发者社区遭受供应链攻击


Kubernetes 和 Sigstore 社区宣布,Kubernetes 将在生产中采用 Sigstore 来签署工件和验证签名,这使得 Kubernetes 用户第一次能够验证他们正在使用的发行版正是它所声称的。


去年刚刚推出的 Sigstore 是一项面向软件开发人员的免费签名服务,它通过实现由透明日志技术支持的加密软件签名的轻松采用,提高了软件供应链的安全性。它迅速成为签名、验证和保护软件的标准,因为它能够自动进行数字签名和检查软件工件,使软件具有更安全的监管链,可以追溯到源头。


今天发布的 Kubernetes 1.24 以及所有未来的版本都将包括加密签名的 Sigstore 证书,使用户能够验证签名,并对每个已部署的 Kubernetes 二进制文件、源代码包和容器镜像的来源更有信心。


“这是保护 Kubernetes 生态系统完整性的巨大一步,表明由于供应链攻击的增加,大规模代码签名是可能的,坦率地说是必要的。”Chainguard 开源负责人 Tracy Miranda 表示:“这种采用和集成是与多个利益相关方数月合作的结果,也是对开源协作力量的证明。”


“很高兴看到 sigstore 的采用,特别是像 Kubernetes 这样的项目,它运行许多需要最大限度保护的关键工作负载,”Red Hat CTO 安全工程主管、Kubernetes 安全响应团队成员、sigstore 项目创始人 Luke Hinds 说。


“Kubernetes 是一个众所周知并被广泛采用的开源项目,它可以激励其他开源项目通过遵循 SLSA 等级,并使用 Sigstore 签名来提高他们的软件供应链安全性,”Google 软件工程师、Sigstore TSC 成员和项目创始人 Bob Callaway 说。“我们将 Sigstore 打造得简单、免费、无缝,这样它就会被广泛采用,并保护我们免受供应链攻击。Kubernetes 选择使用 Sigstore 就是对这项工作的证明。”


2021 年初,Kubernetes 发布团队开始探索 SLSA 合规性,以提高 Kubernetes 软件供应链的安全性。SLSA 是一个安全框架,包括一个标准和控制清单,以防止篡改,提高完整性,并保护你的项目,业务或企业的软件包和基础设施。Sigstore 是实现 SLSA 2 级标准的关键项目,也是实现 SLSA 3 级标准的开端,Kubernetes 社区希望在今年 8 月实现这一目标。


Sigstore 还为 Kubernetes 社区带来了各种好处,包括:


  • Sigstore 的无密钥签名为开发人员提供了良好的体验,并且消除了痛苦的密钥管理需求。

  • Sigstore 的公共透明日志(Rekor[1])和 API 意味着 Kubernetes 的消费者可以很容易地验证签名的工件。

  • Sigstore 对标准的使用,例如对任何 OCI(Open Container Initiative)工件(包括容器、Helm Charts、配置文件和策略包)和 OIDC(OpenID Connect)的支持,意味着它可以与其他工具和服务无缝集成。

  • 非常活跃的、开源的和厂商中立的 Sigstore 社区给了我们信心,相信这个项目会很快被采用并成为事实上的行业标准。


“多年来,SIG Release 一直致力于逐步增强 Kubernetes 项目版本的健壮性。这一最新的声明,以及开源社区之间的合作使之成为可能,是在行业内越来越意识到软件供应链和开源项目发布是一个我们都必须努力改进的关键领域的背景下出现的。安全是一个永无止境的旅程,但为降低攻击者破坏我们供应链完整性的能力而采取的每一步都非常重要。”VMware 开源技术中心负责人、Kubernetes 指导委员会和荣誉退休 SIG Release 负责人 Tim Pepper 说。


“我个人为整个 SIG 发布团队感到骄傲,尤其是发布工程子项目。我们设法交付了一个重要的里程碑,作为我们总体路线图和愿景[2]的一部分,为 Kubernetes 建立一个可消费、可内省且安全的供应链。为供应链安全树立榜样是我们目前最重要的工作之一。在 Kubernetes v1.24 发布周期中,我们设法完成了 50 多个 GitHub 问题,并且只为容器镜像签名的 MVP(最低价值产品,Minimum Valuable Product)拉请求,这对整个团队来说是一个巨大的成就!我谨代表 SIG 发布领导团队再次向你表示感谢,我们期待着供应链安全的美好未来,”Kubernetes SIG Release 主席兼 RedHat 高级软件工程师 Sascha Grunert 说道。


除了数百万直接或间接使用 Kubernetes 的开发人员之外,这也有利于公司中所有旨在符合最近的 NIST 安全软件开发框架(SSDF)要求的人。(参见 Sigstore + NIST SSDF[3])。


更多关于 Sigstore 的信息,请访问:https://www.sigstore.dev/

参考资料

[1]Rekor: https://github.com/sigstore/rekor

[2]路线图和愿景: https://github.com/kubernetes/sig-release/blob/master/roadmap.md

[3]Sigstore + NIST SSDF: https://blog.chainguard.dev/how-sigstore-can-help-you-and-your-team-follow-the-nist-ssdf-recommendations/


原文链接:https://mp.weixin.qq.com/s/VjXOEGjDPWyq4AWfj9-NZw

2022-05-05 09:445996

评论 1 条评论

发布
用户头像
2022-05-06 11:31
回复
没有更多了
发现更多内容

透视HTTPS建造固若金汤的堡垒

码哥字节

https 加密解密 HTTP

利用区块链等技术,加强对交通运输信用信息的归集共享和分析应用

CECBC

区块链 交通运输

分布式下,我想要一致性

架构师修行之路

分布式 微服务

数据结构与算法系列之链表操作全集(一)(GO)

书旅

数据结构 数据结构和算法 Go 语言

游戏数值策划之常用excel函数

吴优秀同学

Excel 游戏

一个草根的日常杂碎(10月18日)

刘新吾

随笔杂谈 生活记录 社会百态

【线上排查实战】AOP切面执行顺序你真的了解吗

Zhendong

spring aop

年纪轻轻怎么就卵巢早衰了?试管可帮忙!

Geek_65d32f

试管 三代试管

一个草根的日常杂碎(10月20日)

刘新吾

随笔杂谈 生活记录 社会百态

二十、深入Python迭代器和生成器

刘润森

Python

云原生在京东丨云原生时代下的监控:如何基于云原生进行指标采集?

京东科技开发者

云原生

第四周作业

dll

mongodb 源码实现、调优、最佳实践系列-百万级代码量mongodb内核源码阅读经验分享

杨亚洲(专注MongoDB及高性能中间件)

MySQL mongodb 源码 中间件 分布式数据库mongodb

Nginx 在运维领域中的应用,看这一篇就够了

华章IT

nginx Linux 运维工程师

深入java week1-01 字节码、内存、GC、调试工具

闷骚程序员

Flink窗口算子-6-8

小知识点

scala 大数据 flink

架构训练营学习笔记之五技术选型(一)

于成龙

架构训练营

一个草根的日常杂碎(10月19日)

刘新吾

随笔杂谈 生活记录 社会百态

央行数字货币离我们还有多远?

CECBC

数字货币

架构师必备的那些分布式事务解决方案!!

架构师修行之路

分布式 微服务 架构设计

vivo 商城前端架构升级—前后端分离篇

vivo互联网技术

Java 大前端 前后端分离

1分钟带你入门 React 公共逻辑抽离HOC...

Leo

大前端 React Hooks HOC Render Props

聊聊技术人员如何学习成长

架构精进之路

职业成长

Linux的上手命令

Linux 常用命令

架构必修:领域边界划分方法--职责驱动设计(RDD)

马迪奥

架构 领域 架构师 RDD

算法分析关键

Geek_0b8195

算法和数据结构

甲方日常 35

句子

工作 随笔杂谈 日常

Go语言内存管理三部曲(三)图解GC算法和垃圾回收原理

网管

内存管理 垃圾回收 GC GC算法 Go 语言

架构师训练营 1 期 -- 第五周作业

曾彪彪

极客大学架构师训练营

万物互联的IoT时代,柔性电子会大行其道吗?

脑极体

java week1练习

闷骚程序员

Kubernetes将大量采用Sigstore来保护开源生态系统_语言 & 开发_CNCF_InfoQ精选文章