- Veröffentlicht am
- • Open Source Projekte
Sigstore: Software-Signaturen für sichere Open-Source-Lieferketten
- Autor
-
-
- Benutzer
- tmueller
- Beiträge dieses Autors
- Beiträge dieses Autors
-
Sigstore ist ein Open-Source-Projekt, das Entwicklern und Teams eine einfache Möglichkeit bietet, Software-Artefakte kryptografisch zu signieren, zu verifizieren und öffentlich nachprüfbar zu machen. Ziel ist es, Software-Lieferketten sicherer zu gestalten – insbesondere im Open-Source-Umfeld, wo Vertrauensfragen eine zentrale Rolle spielen.
Im Kern stellt Sigstore eine Infrastruktur bereit, die sich um drei zentrale Komponenten dreht: cosign, rekor und fulcio. Gemeinsam ermöglichen sie ein modernes, transparentes und entwicklerfreundliches Signiersystem.
Warum Sigstore?
Die Integrität von Software-Paketen ist ein wachsendes Sicherheitsproblem. Angriffe auf Paket-Repositories, kompromittierte Bibliotheken oder gefälschte Updates haben gezeigt, dass Herkunft und Unverändertheit von Software-Artefakten kritisch sind.
Sigstore wurde gegründet, um:
- Signieren für alle Open-Source-Projekte zugänglich zu machen
- Software-Lieferketten nachvollziehbar und überprüfbar zu gestalten
- Komplexität und Abhängigkeit von zentralen Trust-Modellen zu reduzieren
Dabei lehnt sich das Konzept an bekannte Verfahren wie Certificate Transparency an und stellt öffentlich einsehbare Nachweise über Signaturen zur Verfügung.
Kernkomponenten von Sigstore
1. Cosign
cosign ist das Kommandozeilenwerkzeug zum Signieren und Verifizieren von Artefakten – insbesondere von Container-Images. Es unterstützt:
- Signieren mit Schlüsselpaaren oder OIDC-Identitäten (z. B. GitHub, Google)
- Speicherung der Signatur als OCI-Anhang
- Integration mit Container-Registries
- Überprüfung auf Herkunft und Integrität
Beispiel: Signieren eines Docker-Images
cosign sign ghcr.io/user/image:tag
Verifizieren:
cosign verify ghcr.io/user/image:tag
2. Fulcio
fulcio ist eine Certificate Authority (CA), die X.509-Zertifikate ausstellt, die mit einer OpenID Connect-Identität verknüpft sind. Nutzer müssen kein eigenes Schlüsselpaar verwalten. Stattdessen basiert die Identität z. B. auf GitHub Actions, Google-Konten oder anderen OIDC-Anbietern.
So entsteht eine signierte Verbindung zwischen der Person (bzw. CI/CD-Umgebung) und dem Artefakt – ohne manuelle Schlüsselverwaltung.
3. Rekor
rekor ist ein öffentlich einsehbares, unveränderbares Log (basierend auf einem Merkle-Tree), das alle Signaturereignisse speichert. Ähnlich wie bei Certificate Transparency können so Dritte prüfen:
- Wer ein Artefakt signiert hat
- Wann die Signatur erfolgte
- Welche Identität (z. B. GitHub Actions) beteiligt war
Das erhöht die Transparenz und erschwert Manipulationen.
Typische Anwendungsfälle
- Signieren von Container-Images vor der Auslieferung
- Sicherstellung, dass CI/CD-Builds authentisch und reproduzierbar sind
- Dokumentation und Verifikation von Veröffentlichungen
- Schutz vor Supply-Chain-Angriffen auf Open-Source-Projekte
Vorteile von Sigstore
- Kostenlos und quelloffen
- Keine manuelle Schlüsselpaar-Verwaltung notwendig
- OIDC-basierte Authentifizierung (z. B. GitHub Actions)
- Verifikation über öffentliche Logs jederzeit möglich
- Integration mit DevOps-Workflows (CI/CD, Containerregistries, Policy-Engines)
Herausforderungen
- Noch relativ junges Projekt mit wachsender, aber nicht flächendeckender Verbreitung
- Hauptfokus bisher auf Container-Ökosysteme
- Signaturlogik erfordert technisches Verständnis für sichere Implementierung
Fazit
Sigstore bietet eine moderne Lösung für ein zentrales Problem der Softwareentwicklung: Vertrauenswürdigkeit und Transparenz von Software-Artefakten. Mit einfachen Tools und offener Infrastruktur hilft es dabei, Sicherheitslücken in der Software-Lieferkette zu schließen – und senkt gleichzeitig die Hürden für Entwicklerinnen und Entwickler, ihre Software vertrauenswürdig zu signieren und zu veröffentlichen.
Weitere Informationen: https://www.sigstore.dev https://github.com/sigstore