简化签名体验：Linux基金会推出sigstore软件真实性验证服务？

致力于推进开源创新的Linux基金会，刚刚发表了以便利加密软件签名、提高软件供应链安全性为目标的新服务。BetaNews报道称为sigstore的辅助，软件开发者可以简单地签署文件、容器图像、二进制文件等软件工件。

(输送门:Sigstore.dev

通过将签名材料存储在防篡改的公共日志中，Linux基金希望sigstore签名服务在开源软件开发领域普及。目前的项目创始人包括红帽子、谷歌和普渡大学。

红帽首席技术人员办公室安全工程负责人LukeHinds表示:

sigstore的目的是全面复盖凯源代码社区，开发人员可以轻松地为软件提供签名。结合来源、完整性和可发现性，有助于创造透明可审查的软件供应链。

在 Linux 基金会的主持合作下，我们可以加快 sigstore 的相关工作，以促进开源软件的开发、采用和行业影响力。

此前很少有开源项目使用加密签名手段，主要原因是软件维护人员在密钥管理、撤销和公钥分配等工作方面遇到了一定的挑战。

在此基础上，很多用户只能努力寻找可靠的钥匙，自己学习签名所需的步骤，更不用说钥匙的分发方其他问题了。

这些公钥通常存储在容易受到黑客攻击的网站上，也存储在公共git存储库的自述(README)文件中。

但随着sigstore公共服务的推出，我们可以使用临时钥匙和信赖根来回避上述问题(后者来自开放可审查的公共透明日志)。

最后，优艾设计网_Photoshop百科谷歌开源安全队的DanLorenc表示，sigstore目的是验证所有版本的开源软件，让客户轻松实际验证，希望未来的过程更加简单。