Containerorkestrator Kubernetes kommer nu att inkludera kryptografiskt signerade certifikat, med hjälp av Sigstore-projektet som skapades förra året av Linux Foundation, Google, Red Hat och Purdue University, i ett försök att skydda mot attacker i leveranskedjan.
Sigstore-certifikaten används i den nyss släppta Kubernetes version 1.24 och alla framtida utgåvor.
Enligt grundande Sigstore-utvecklare Dan Lorenc, en tidigare medlem av Googles säkerhetsteam med öppen källkod, tillåter användningen av Sigstore-certifikat Kubernetes-användare att verifiera äktheten och integriteten för distributionen de använder genom att “ge användarna möjligheten att verifiera signaturer och ha större förtroende för ursprunget till varje distribuerad Kubernetes-binär, källkodspaket och containerbild.”
Det är ett steg framåt för utveckling av programvara med öppen källkod i kampen mot attacker från programvarans leveranskedja.
SER: Emotet-botnätet är tillbaka, och det har några nya knep för att sprida skadlig programvara
Linux Foundation tillkännagav Sigstore-projektet i mars 2021. Det nya Alpha-Omega open-source supply chain-säkerhetsprojektet, som stöds av Google och Microsoft, använder också Sigstore-certifikat. Googles säkerhetsteam med öppen källkod tillkännagav det Sigstore-relaterade projektet Cosign i maj 2021 för att förenkla signering och verifiering av behållarbilder, samt Rekors “manipuleringssäkra” reskontra, som låter mjukvaruunderhållare bygga system för att registrera signerad metadata till en “oföränderlig post”. “.
Enligt Lorenc är Kubernetes release-teams antagande av Sigstore en del av deras arbete med Supply Chain Levels for Software Artifacts, eller SLSA – ett ramverk utvecklat av Google för att internt skydda sin mjukvaruförsörjningskedja som nu är en trenivåspecifikation som formas av Google , Intel, Linux Foundation och andra. Kubernetes 1.23 uppnådde SLSA Level 1-kompatibilitet i version 1.23.
“Sigstore var ett nyckelprojekt för att uppnå SLSA nivå 2-status och få ett försprång mot att uppnå SLSA nivå 3-efterlevnad, vilket Kubernetes-communityt förväntar sig att nå i augusti”, säger Lorenc.
Lorenc säger till ZDNet att Kubernetes adoption av Sigstore är ett stort steg framåt för projektet eftersom det har cirka 5,6 miljoner användare. Sigstore-projektet närmar sig även Python-utvecklare med ett nytt verktyg för att signera Python-paket, samt stora paketförråd som Maven Central och RubyGems.
Kubernetes fungerar som kritiska kontaktpunkter för att dra uppmärksamhet, ta en stor mängd arbete och har en överdriven inverkan på hela leveranskedjan, säger han.
Dessa ansträngningar sammanfaller med nya projekt som det nya Package Analysis Project, ett initiativ från Google och Linux Foundations Open Source Security Foundation (OpenSSF) för att identifiera skadliga paket för populära språk som Python och JavaScript.
Skadliga paket laddas regelbundet upp till populära arkiv trots bästa ansträngningar, med ibland förödande konsekvenser för användarna, enligt Google.
