ソフトウェアのサプライチェーンはここ数年、特に注目を集める攻撃の増加やホワイトハウスの関与を受けて、急速にホットな話題となった。Google、GitHub、Chainguard、RedHatなどが支援するオープンソースプロジェクトのSigstoreは、ソフトウェアプロジェクトとその依存関係の署名、検証、保護における一種の標準となり、ユーザーが自分のマシンにインストールして実行するソフトウェアが改ざんされていないことを確認している。結局のところ、今日では、少なくとも1つ(通常は複数)のオープンソースライブラリに依存していないソフトウェアプロジェクトはほとんどなく、それらのオープンソースライブラリ自体もおそらく他のライブラリに依存している。そして、これらのプロジェクトの多くはボランティアによって維持されているため、ハッカーにとっては格好の標的となっている。
本日、デトロイトで開催されたCNCF主催のKubeCon/CloudNativeConカンファレンスの併催イベントであるSigstoreConにおいて、Sigstoreコミュニティはオープンソースプロジェクト向けの無料ソフトウェア署名サービスの一般提供を発表しました。Sigstoreは既に最も急速に導入が進んでいるオープンソースプロジェクトの一つであり、これまでに400万件以上の署名が登録されています。KubernetesコミュニティとPythonコミュニティの両方が、リリースへの署名にSigstoreを利用しています。また、人気のJavaScriptパッケージマネージャーであるnpmも、パッケージの出所を保証するためにSigstoreの統合を進めています。
「Sigstoreは急速にソフトウェアの署名、検証、保護の標準となりつつあります。ソフトウェアサプライチェーンのセキュリティがこれまで以上に重要になっているこの時期に、より広範な導入に向けた最後の障壁を取り除くために、一般提供を発表できることを大変嬉しく思います」と、Sigstore技術運営委員会のメンバーであり、ChainguardのソフトウェアエンジニアであるPriya Wadhwa氏は述べています。「 Sigstoreのこの次のフェーズによって、オープンソースソフトウェアエコシステム全体がこの技術の導入に自信を持ち、その信頼性と安定性から恩恵を受けられるようになることを願っています。」
Sigstoreコミュニティは、99.5%の稼働率とポケベルサポートを約束しています。これは、ほとんどの無料プロジェクトが提供できる以上のものです。ちなみに、SigstoreはOpen Source Security Foundationの資金提供を受けている非営利プロジェクトです。Sigstore自体は、コンテナに署名し、その情報を不変の台帳に保存し、そしてもちろん、そもそも証明書を作成するための複数のプロジェクトで構成されています。
トピック
フレデリックは2012年から2025年までTechCrunchに在籍していました。また、SiliconFilterを設立し、ReadWriteWeb(現ReadWrite)にも寄稿しています。フレデリックは、エンタープライズ、クラウド、開発者ツール、Google、Microsoft、ガジェット、交通機関など、興味のあるあらゆる分野をカバーしています。
バイオを見る
