НКО Linux Foundation анонсировала запуск нового проекта с открытым исходным кодом — реализации криптографического протокола аутентификации OpenPubkey, способного повысить безопасность цепочек поставок программного обеспечения.
Концепция беспарольной аутентификации OpenPubkey была разработана в BastionZero для ее системы удаленного доступа с нулевым доверием. Технология позволяет в рамках системы единого входа OpenID Connect заверять сообщения и запросы пользователей цифровой подписью.
В роли удостоверяющего центра выступает поставщик идентификации (IdP). Ключ подписи и публичный генерируются на стороне пользователя при запуске процедуры аутентификации; публичный ключ затем отсылается IdP и вставляется в ID-токен, который таким образом превращается в сертификат.
Примечательно, что OpenPubkey не добавляет других доверенных сторон сверх тех, что необходимы для OpenID Connect. Система совместима с существующими OpenID-провайдерами — Google, Azure/Microsoft, Okta, Keycloak, OneLogin — и не требует от них изменений.
В настоящее время OpenPubkey уже используется как основа для подписывания контейнеров Docker. С запуском проекта Linux Foundation, для которого на GutHub уже создан репозиторий, технология станет доступной opensource-сообществу. Разработчики смогут создавать приложения безопасного удаленного доступа, выстраивать защищенные цепочки поставок, подписывая сборки, установки и вносимые в код изменения.
«Мы убеждены, что инициатива, способная предоставить opensource-комьюнити дополнительное средство защиты, сыграет решающую роль в укреплении его позиций, — заявил исполнительный директор Linux Foundation Джим Землин (Jim Zemlin). — Приглашаем разработчиков и организации присоединиться к коллективной работе над повышением безопасности цепочек поставок программного обеспечения».
