Linux bringt Signaturtool «Sigstore» für Open-Source-Software
In der Welt der Open-Source-Software ist es oft schwierig, die Herkunft von Code zu kontrollieren. Linux will hier mit dem Tool «Sigstore» Abhilfe schaffen.
Das Wichtigste in Kürze
- Bei Open-Source-Software ist die Herkunft der Tools oft schwierig zu kontrollieren.
- Durch «Sigstore» der Linux Foundation soll es möglich sein, Software zu verifizieren.
- Mit dem Projekt wird künftig eine «virtuelle Materialliste» für Open-Source-Code geführt.
Viele IT-Kenner setzen heutzutage auf Open-Source-Software für ihre Arbeiten und Projekte. Im Gegensatz zu kommerziellen Tools steht dahinter kein grosses Unternehmen, welches Profit machen will. Dazu lässt sich der verwendete Code von jedem Nutzer selbst einsehen und kontrollieren. Ein Nachteil dabei ist jedoch das Labyrinth an Herkünften und Überarbeitungen, welches durch die vielen Nutzer entsteht.
Die Linux Foundation bringt eine Materialliste
Mit dem Projekt «Sigstore» arbeitet die Linux Foundation nun an einem neuen Signaturtool für Open-Source-Software. Mit dem Tool soll es einfacher werden, Open-Source-Software kryptografisch zu signieren und verifizieren. Zu Beginn wird es mit Tarballs, kompilierten Binaries oder Container Images funktionieren. Später sollen laut «Inside IT» noch weitere Formate hinzukommen.
Mit dem Tool soll schlussendlich eine «virtuelle Materialliste» für Open-Source-Projekte geführt werden, welche leicht überprüft werden kann. Das Ganze nennt sich dann «Software Bill of Materials», oder kurz «SBOM». So können Entwickler auf simple Art nachprüfen, woher verwendeter Code stammt und wer daran arbeitete. Anders als bisherige Lösungsansätze soll das Tool der Linux Foundation eine vereinheitlichte Lösung darstellen.