Sigstore: 소프트웨어 아티팩트에 대한 신뢰의 근원

작성자: Dan Lorenc, InfoWorld |

기술자들이 분석하는 신흥 기술

인터넷을 사용하는 약 50억 명의 사람들 중에서 TLS(전송 계층 보안), 디지털 인증서 또는 공개 키의 작동 방식을 아는 사람은 극소수에 불과합니다. 오늘날 사용자가 여전히 인터넷에서 직면하고 있는 보안 위험에 대해 어떻게 생각하시나요? 하지만 웹사이트와 사이트 방문자 간의 신뢰를 위한 이러한 빌딩 블록 프로토콜이 지난 20년 동안 엄청난 규모의 인터넷을 얼마나 잘 처리했는지는 매우 놀랍습니다.

대조적으로, 소프트웨어 공급망 보안의 개념은 여전히 ​​상대적으로 새로운 것입니다. SolarWinds 및 Log4j에 대한 헤드라인은 개발자가 출처를 알 수 없는 소프트웨어 아티팩트를 사용할 때 생성되는 백도어에 대한 몇 가지 기본적인 인식을 불러일으켰습니다. 그러나 인터넷에서 신뢰가 작동하는 방식에 대한 동일한 기본 원칙을 어떻게 적용하고 이를 소프트웨어 아티팩트와 이를 사용하는 수백만 명의 개발자 간의 신뢰 구축에 적용할 수 있을까요? 대부분의 소프트웨어 개발자는 아직 이를 이해하려는 초기 단계에 있습니다.

최근 Vint Cerf가 초기 웹 공개 키 인프라(PKI)와 새로운 아티팩트 서명 및 오픈 소스 서명 생태계 간의 유사점에 대해 논의하는 것을 들었습니다. 제가 놀랐던 점은 인터넷에 대한 신뢰의 상당 부분이 인증 기관 브라우저 포럼(Certification Authority Browser Forum)과 같은 영향력 있는 그룹에 의해 주도되어 이러한 프로토콜을 브라우저와 운영 체제에 굽어 사용하게 만들었다는 것입니다. 소프트웨어 공급망 보안을 주도하는 동등한 그룹은 없습니다. 우리 모두는 오픈 커뮤니티 방식과 오픈 소스 프로젝트를 기반으로 이를 작동시키고 있습니다.

이 신흥 보안 도메인의 진화에 참여하고 싶다면 소프트웨어 공급망의 표준 아티팩트 서명 프로젝트인 Sigstore보다 더 큰 모멘텀이나 업계 통합을 갖춘 오픈 소스 프로젝트는 없습니다. Sigstore의 몇 가지 원칙과 기본 요소를 살펴보겠습니다. 그러면 다음에 패키지 관리자나 빌드 시스템이 Sigstore의 왁스 승인 도장을 사용하는 것을 볼 때 내부 내용을 이해할 수 있습니다.

웹의 PKI 인프라는 모든 웹 인증 기관(CA)이 인터넷의 모든 도메인에 대한 인증서를 발급하도록 신뢰되도록 설계되었습니다. 이러한 인증서가 남용되지 않도록 관리하는 것(예: 은행 웹사이트와 같이 제어하지 않는 도메인에 대한 인증서를 발급하는 CA)을 인증서 투명성 프레임워크라고 합니다. 이는 "추가 전용" 공개 원장을 제공하는 개방형 블록체인 프레임워크입니다.

투명성 로그는 개발자와 보안 팀이 회사의 도메인 이름에 대해 발급된 모든 인증서가 올바르게 발급되었는지 모니터링할 수 있는 기능을 제공하므로 매우 중요합니다. 이를 통해 누군가가 귀하의 회사로 가장하고 귀하의 트래픽을 스푸핑하는지 감지하는 데 도움이 됩니다. 투명성 로그의 핵심은 이러한 실수를 기록에 담아 나중에 이를 찾아 복구하고 나쁜 점을 완화할 수 있도록 하는 것입니다.

Sigstore는 공급망 보안에서 소프트웨어 아티팩트 무결성에 존재하는 매우 유사한 문제를 효과적으로 해결하는 방법에 대한 영감으로 인증서 투명성 프레임워크(인기 있는 TLS 프레임워크인 Let's Encrypt)를 영감으로 삼은 오픈 소스 프레임워크입니다. 소프트웨어 아티팩트를 다운로드할 때, 그것이 누구에 의해 생성되었는지, 그리고 다운로드 중인 것과 동일한 아티팩트(악의적인 사기꾼이 아님)인지 어떻게 알 수 있습니까? Sigstore는 개발자가 릴리스 파일, 컨테이너 이미지, 바이너리, SBOM(소프트웨어 BOM) 등과 같은 소프트웨어 아티팩트에 안전하게 서명할 수 있도록 하여 이 문제를 해결합니다. 그런 다음 서명된 자료는 변조 방지 공개 투명성 로그에 저장됩니다.

Sigstore를 구동하는 세 가지 주요 기본 요소가 있습니다. 전체 Sigstore 퍼즐을 구축하려면 세 가지가 모두 필요하지만 서로 다르고 독립적인 목적으로 사용됩니다.