Das Projekt Sigstore ist eine Initiative der Linux Foundation, das für die Community sehr wichtig werden könnte. Ziel des Projektes ist es, die Sicherheit der Lieferketten bei freier Software deutlich zu erhöhen.
Das Projekt möchte eine kostenlose Dienstleistung für Entwickler von freier Software bereitstellen. Dieser Service soll die Werke mit einer Signatur versehen, um ihre Herkunft nachzuweisen. Zu Beginn soll dies für Tarballs, Binaries oder Container angeboten werden; später auch für zusätzliche Formate. Sigstore führt eine zentrale Datenbank, in der nachgewiesen werden kann, wer welches Software-Artefakt signiert hat.
Sobald das Projekt den Kinderschuhen entwachsen ist, soll für freie Software-Projekte eine nachprüfbare Stückliste ("Software Bill of Materials") vorhanden sein, in der jede Entwicklerin und jeder Anwender die Herkunft und Unverändertheit des Codes nachprüfen kann.
Obwohl es bereits jetzt ähnliche Werkzeuge gibt, werden diese kaum eingesetzt. Ein frei verfügbares und einfach zu bedienendes Standard-Werkzeug könnte diese Situation stark verbessern.
Quelle: https://sigstore.dev/
