Github uvaja podpisovanje kode
Najpopularnejše spletišče za gostovanje programske kode, Microsoftov Github, bo v kratkem uvedel podporo za digitalno podpisovanje kode.
Pri tem se bodo povezali s projektom sigstore. Ta deluje v okviru fundacije Linux, med podporniki so Google, Red Hat, OpenSSF, VMWare in drugi. Ponuja odprto-kodna (in seveda brezplačna) orodja za avtomatizacijo in overitev podpisov programske kode, podobno kot projekt Let's Encrypt pri spletnih straneh (in drugih podobnih sistemih). Tako bodo uvedli podpisovanje paketov v svojem izredno priljubljenem registru »npm« za pakete JavaScript.
V zadnjih letih je namreč vse več napadov na t.i. »logistično verigo« programske kode (»supply chain attacks«). Gre za to, da napadalci v kako priljubljeno odprto-kodno knjižnico dodajo nekaj zlonamerne kode, tako okuženo knjižnico pa naložijo v katere izmed bolj priljubljenih registrov. Z digitalnim podpisovanjem bi uporabniki lahko preverili, če je paket, ki so ga prenesli, res preveden neposredno iz overjene izvorne kode.
