Rantai pasokan perangkat lunak dengan cepat menjadi topik hangat dalam beberapa tahun terakhir, terutama karena jumlah serangan profil tinggi meningkat dan Gedung Putih terlibat. Sigstore, proyek sumber terbuka yang didukung oleh Google, GitHub, Chainguard, dan RedHat, telah menjadi semacam standar untuk menandatangani, memverifikasi, dan melindungi proyek perangkat lunak — dan ketergantungan yang mereka gunakan — untuk memastikan bahwa perangkat lunak yang Anda pasang dan jalankan pada mesin Anda belum dimanipulasi. Hari-hari ini, bagaimanapun, tidak banyak proyek perangkat lunak yang tidak bergantung pada setidaknya satu — dan biasanya banyak — pustaka sumber terbuka, yang mungkin juga bergantung pada pustaka lain. Dan dengan banyak dari proyek ini dikelola oleh sukarelawan, mereka menjadi sasaran empuk bagi peretas.

Hari ini, di SigstoreCon, acara yang berlokasi bersama di konferensi KubeCon/CloudNativeCon CNCF di Detroit, komunitas Sigstore mengumumkan ketersediaan umum layanan penandatanganan perangkat lunak gratisnya untuk proyek sumber terbuka. Sigstore sudah menjadi salah satu proyek open source yang paling cepat diadopsi, dengan lebih dari 4 juta tanda tangan yang tercatat sejauh ini. Komunitas Kubernetes dan Python menggunakannya untuk menandatangani rilis mereka. Dan npm, pengelola paket JavaScript yang populer, saat ini sedang dalam proses mengintegrasikan Sigstore untuk memastikan sumber paketnya.

Kredit Gambar: Sigstore

“Sigstore telah dengan cepat menjadi standar untuk menandatangani, memverifikasi, dan melindungi perangkat lunak, jadi sangat baik untuk mengumumkan ketersediaan umum untuk menghapus satu penghalang terakhir untuk adopsi yang lebih luas pada saat keamanan rantai pasokan perangkat lunak menjadi lebih penting daripada sebelumnya,” ujar Priya Wadhwa, anggota dari Sigstore Komite Pengarah Teknis dan insinyur perangkat lunak di Chainguard. “Harapan kami, fase selanjutnya ini Sigstore akan memberdayakan ekosistem perangkat lunak sumber terbuka lainnya untuk mendapatkan kepercayaan diri yang lebih tinggi dalam mengadopsi teknologi ini dan memanfaatkan pengalamannya yang andal dan stabil.”

Komunitas Sigstore menjanjikan waktu aktif 99,5% dan dukungan pager — lebih dari yang dapat ditawarkan sebagian besar proyek gratis. Sigstore, perlu dicatat, adalah proyek nirlaba yang didanai oleh Open Source Security Foundation. Sigstore sendiri terdiri dari sejumlah proyek untuk menandatangani wadah, menyimpan informasi tersebut dalam buku besar yang tidak dapat diubah, dan, tentu saja, membuat sertifikat tersebut sejak awal.