Kubernetes采用Sigstore實作供應鍊安全

随着Kubernetes 1.24的釋出，超過500萬的Kubernetes開發者首次可以驗證他們所使用的發行版是否與聲稱的一樣。這是因為在這個版本中，Kubernetes采用了Sigstore對工件進行簽名和驗證簽名。這是Kubernetes安全的重大進展。

衆所周知，容器供應鍊安全已成為一個關鍵問題。很多時候，軟體元件都會中毒，而建立在它們之上的每一個程式都會随之消亡。Sigstore是去年推出的一項免費軟體簽名服務。它通過簡化對釋出檔案、容器鏡像和二進制檔案的加密簽名，提高了軟體供應鍊的安全性。一旦簽名，簽名記錄将儲存在防篡改的公共日志中。Sigstore将免費供所有開發者和軟體供應商使用。這為軟體工件提供了一個更安全的保管鍊，可以對其進行保護并追溯到其來源。

一大步

開發安全公司Chainguard的開源負責人Tracy Miranda解釋說，這是一件大事，原因之一是它“在保護Kubernetes生态系統的完整性方面邁出了一大步，并證明了由于供應鍊攻擊的增加，大規模的代碼簽名是可能的，而且坦率地說是必要的。”

易用性在這裡很重要。我們早就知道，對程式設計元素進行加密簽名和驗證是很好的安全性，但大多數早期的加密簽名工具要麼過于繁瑣，要麼過于混亂，難以使用。如果沒有易于使用的工具對代碼進行數字簽名，很少有開發人員會為此煩惱。這就是Sigstore的用武之地。

正如谷歌員工軟體工程師兼Sigstore項目創始人Bob Callaway所說，“我們建構的Sigstore簡單、免費、無縫，是以将被大量采用，并保護我們所有人免受供應鍊攻擊。Kubernetes選擇使用Sigstore就是這項工作的證明。”

SLSA合規性

Kubernetes釋出團隊看到了這一努力的重要性。2021年初，團隊開始探索軟體工件（SLSA，發音為salsa）的供應鍊級别，以提高Kubernetes軟體供應鍊的安全性。SLSA是一個安全架構，包括一個标準和控制清單，以防止篡改，提高完整性，并保護項目的包和基礎設施。Sigstore是實作SLSA 2級狀态并率先實作SLSA 3級合規性的關鍵項目，Kubernetes社群預計将在今年8月達到這一目标。

Sigstore好處

Sigstore還為Kubernetes社群提供了多種好處，包括：

——Sigstore的無密鑰簽名為開發者提供了良好的體驗，消除了痛苦的密鑰管理需求。

——Sigstore的公共透明日志（public transparency log，Rekor）和API意味着Kubernetes的使用者可以輕松地驗證簽名的工件。

——Sigstore使用标準，例如支援任何開放容器計劃（OCI）工件（包括容器、Helm Charts、配置檔案和政策包）和OpenID Connect（OIDC），這意味着它可以與其他工具和服務無縫內建。

——活躍、開源、供應商中立的Sigstore社群使人們相信，該項目将迅速被采用，并成為事實上的行業标準。

VMware開源技術中心和Kubernetes指導委員會負責人Tim Pepper表示：“安全是一個永無止境的過程，為減少攻擊者破壞供應鍊完整性的能力而采取的每一步都很重要。Kubernetes在新版本中采用Sigstore是向前邁出的一大步。”

原文連結：