Sigstore が Python 用のコードと証明書署名ツールの最初の安定版リリースを発表

Sigstore コミュニティは本日、sigstore-python の最初の安定版リリースを発表しました。これにより、ソフトウェア サプライ チェーンのセキュリティが向上し、初期段階にある Sigstore の他のクライアント実装への道が開かれました。

Sigstore は、Linux Foundation が立ち上げたオープン ソース プロジェクトであり、すべての開発者がソフトウェア プロジェクトに簡単に署名、検証、保護できる無料で安定したサービスを提供することを目的としています。 コード署名は、ハッカーがシステムにパッチを適用してマルウェアを配布するのを防ぐための貴重なツールですが、キー管理の複雑さを考えると、オープン ソース プロジェクトに実装することは困難です。

プロジェクトの一部であり、Google のオープン ソース セキュリティ チームによって資金提供されている sigstore-python は、cosign のような Sigstore 互換クライアントを提供することを目的としていますが、完全に Python で構築され、Python エコシステムで簡単に採用できます。

「本日の sigstore-python のリリースは、sigstore と Python コミュニティにとって重要なマイルストーンです」と、sigstore プロジェクトの共同創設者であり、Google のオープン ソース セキュリティ チームのテクニカル リーダー兼マネージャーである Bob Callaway 氏は SC Media に語った。 「Sigstore の署名および検証ワークフローの安定した Python ネイティブ実装のリリースにより、Python 開発者とパッケージ メンテナーは、秘密鍵を管理するオーバーヘッドなしに、Python ソフトウェア サプライ チェーンのセキュリティを向上させることができます。」

Sigstore-python は、Ruby、Java、Rust、Go、JavaScript などのプログラミング言語を含む、開発中の多くの Sigstore クライアントの 1 つにすぎません。 Sigstore-python は最も古い実装ではありませんが、「Sigstore のセキュリティ モデルの複雑さを簡潔かつ正確に実装する」という点で最も権威のあるものの 1 つになることを目指しており、他のクライアントの実装に重要な技術的基盤を設定する可能性があると、William Woodruff 氏は述べています。 、sigstore-python への主要な貢献者の 1 人であり、Trail of Bits のシニア セキュリティ エンジニアです。

「Sigstore-python は、Sigstore クライアントの ‘リファレンス’ 実装であることを意図しています。つまり、初期の開発段階にある Sigstore の他のクライアント実装 (Rust 実装など) の主要な技術リファレンスになることを意味します」と Woodruff 氏は語った。 SCメディア。 「コードベースは全体として、Sigstore コミュニティの他のユーザーが実際に読んで消費することを意図しており、参照能力のレベルを維持することが、私たちが継続的に取り組んでいる重要な長期目標の 1 つであると自信を持って言えます。機能を追加します。」

sigstore-python の 2 つの最も際立った機能の 1 つは、暗号化ツールの誤用を回避するパブリック Python API とコマンドライン インターフェイス (CLI) の設計です。これは、プロジェクト開発における 2 つのプリミティブ (署名と検証) に対応します。

次のステップについて、Woodruff 氏は、彼のチームは Sigstore コミュニティの他のメンバーと協力して、マテリアルに署名するためのバンドル形式を標準化しており、すぐにバンドルによる署名と検証のサポートを含めたいと考えていると述べました。

さらに、彼のチームは、開発者が使用する人気のあるオープン ソース ソフトウェア リポジトリである Python Package Index に Sigstore をさらに統合し、関連する GitHub Action を安定させるために取り組んでいます。

「GitHub は、オープンソース コミュニティと協力して Sigstore の仕様、実装、パブリック サーバーの実行を支援し、PyPI、npm、およびその他のパッケージ マネージャーでこの機能が実現されることを確認できることを誇りに思います」と、Sigstor テクニカル ステアリングのメンバーである Trevor Rosen 氏は述べています。委員会と GitHub のスタッフ エンジニアリング マネージャーは、SC Media に語った。

“[Sigstore] Python 開発者が最新の透過的なデジタル署名の利点を享受できるように、Python コミュニティと協力して sigstore-python を Python のパッケージング ツールとインフラストラクチャに統合することを熱望しています」とキャロウェイは付け加えました。

Leave a Comment

Your email address will not be published. Required fields are marked *