致力于推進開源創新的Linux基金會，剛剛發表了以便利加密軟件簽名、提高軟件供應鏈安全性為目標的新服務。BetaNews報道稱為sigstore的輔助，軟件開發者可以簡單地簽署文件、容器圖像、二進制文件等軟件工件。

(輸送門:Sigstore.dev

通過將簽名材料存儲在防篡改的公共日志中，Linux基金希望sigstore簽名服務在開源軟件開發領域普及。目前的項目創始人包括紅帽子、谷歌和普渡大學。

紅帽首席技術人員辦公室安全工程負責人LukeHinds表示:

sigstore的目的是全面復蓋凱源代碼社區，開發人員可以輕松地為軟件提供簽名。結合來源、完整性和可發現性，有助于創造透明可審查的軟件供應鏈。

在 Linux 基金會的主持合作下，我們可以加快 sigstore 的相關工作，以促進開源軟件的開發、采用和行業影響力。

此前很少有開源項目使用加密簽名手段，主要原因是軟件維護人員在密鑰管理、撤銷和公鑰分配等工作方面遇到了一定的挑戰。

在此基礎上，很多用戶只能努力尋找可靠的鑰匙，自己學習簽名所需的步驟，更不用說鑰匙的分發方其他問題了。

這些公鑰通常存儲在容易受到黑客攻擊的網站上，也存儲在公共git存儲庫的自述(README)文<愛尬聊_百科全書>件中。

但隨著sigstore公共服務的推出，我們可以使用臨時鑰匙和信賴根來回避上述問題(后者來自開放可審查的公共透明日志)。

最后，谷歌開源安全隊的DanLorenc表示，sigstore目的是驗證所有版本的開源軟件，讓客戶輕松實際驗證，希望未來的過程更加簡單。