OpenSSFによるコンテナなどへの電子署名サービス「Sigstore」が正式版に。オープンソースのサプライチェーンをさらに安全に

Linux傘下の団体としてオープンソースの安全性の向上を推進する「Open Source Security Foundation」(OpenSSF)は、コンテナなどソフトウェアの成果物に対する業界標準の電子署名サービス「Sigstore」がバージョン1.0に到達したことを発表しました。

Sigstoreはオープンソースソフトウェアに署名し、検証し、保護するための標準規格およびサービスの名称です。

2021年12月にLog4jの深刻な脆弱性が発見され、社会的に大きな影響を及ぼしたことをきっかけにオープンソースのサプライチェーンリスクに対策が注目されるようになり、翌月の2022年1月には米ホワイトハウスがソフトウェアセキュリティに関する会議を開催。

Googleやマイクロソフトなどの大手企業を中心に、ソフトウェアサプライチェーンのセキュリティに対する具体的な動きが活発化していました。

参考:オープンソースのセキュリティ強化に2年で約200億円の投資、Google、Amazon、マイクロソフト、インテル、VMwareらが資金提供へ。Linux Foundationが計画

Sigstoreは、こうしたオープンソースのサプライチェーンにおけるセキュリティ強化の一環として登場したものです。

Webで成功したHTTPSへの移行をソフトウェアでも再現できないか?

Sigstoreはソフトウェアの成果物(Artifact)に署名するためのCosign、 OpenID Connect(OIDC)IDを用いるための認証局Fulcio、署名データを改ざん不可能な台帳に記録するRekorなどから構成されます。

そしてFulcioやRecorはSigstoreコミュニティによってサービスとして運用されており、無料で利用可能です。

Sigstoreの創設者であるRed HatのLuke Hinds氏は、KubeCon + CloudNativeCon 2022 North Americaで同時開催されたSigstoreConの基調講演で、Webの世界がHTTPSを導入することで以前より安全になった例を示し、これと同じことをソフトウェアのサプライチェーンでできないだろうか? と考えたことからSigstoreの着想を得たと発言。

fig

HTTPからHTTPSへの移行は多少の痛みはあったものの比較的容易で、しかもほとんど無料であったことを振り返りつつ、Sigstoreも秘密鍵の管理など複雑な部分はインフラ側で隠蔽し、ユーザーにとって容易でかつ無料で利用できるようにしたと説明。これらによってSigstoreは急速に受け入れられているとしました。

fig

SigstoreはすでにKubernetesやPythonで採用されており、GitHub/npmではすでにSigstoreが利用可能となっています。またGitHubはこれからCI/CDサービスを提供している企業と連携し、同社がOIDC IDトークンを提供することで他社のCI/CDサービスでのSigstore利用を容易にしていくことも明らかにしています

HTTPSが急速に普及したように、少なくとも今後オープンソースの世界でSigstoreの利用が急速に普及し、オフィシャルにビルドされたことが確実かつ容易に検証されていくようになることが期待されます。