基金会将推出代码签名及验证服务

了防止这类攻击，「sigstore」也就应运而生。sigstore 将会是一个免费使用的非盈利性软件签名服务，允许开发者对开源软件进行签名并验证其真实性。

你可以把它想象成是用于代码签名的 Let's Encrypt。就像 Let's Encrypt 如何为 HTTPS 提供免费证书和自动化工具一样，sigstore 同样也提供免费证书和自动化工具，只不过是用于验证源代码的签名。

Google 在博客中解释道：“sigstore 还拥有透明度日志支持这一额外优势，这意味着所有的证书和证明都是全局可见、可发现和可审计的"。

Sigstore 是基于 OpenID Connect 所授予的公共透明日志和为代码签名分配的特殊 Root CA 短期证书所构建的。

由于透明日志是公开的，因此开发者可以很容易地进行监控，并在发现问题时及时回滚。该项目目前处于开发的早期阶段，但项目发起人也希望有更多开发者能够参与该项目并提供及时反馈。

（编辑：阜新站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!