กรณีการแฮ็ก SolarWinds ทำให้คนหันมาสนใจเรื่องความปลอดภัย supply chain ของซอฟต์แวร์กันมากขึ้น แต่ปัญหานี้ไม่ใช่เรื่องใหม่ของวงการ เมื่อไม่นานนี้เพิ่งมีนักวิจัยความปลอดภัยลองสร้างไลบรารีปลอม และมีบริษัทชื่อดังหลายแห่งดาวน์โหลดไปใช้งาน
ล่าสุด Linux Foundation เปิดตัวโครงการ sigstore ที่พยายามแก้ปัญหานี้ โดยกระตุ้นให้โลกโอเพนซอร์สใช้วิธี sign ไฟล์ที่เกี่ยวข้อง (เช่น ซอร์สโค้ด อิมเมจ และไบนารี) ทุกครั้งที่ออกรุ่นใหม่ และนำลายเซ็นเหล่านี้ไปเก็บไว้ใน log ที่แก้ไขไม่ได้ แต่สาธารณะสามารถเข้าถึง (transparency log) เพื่อตรวจสอบข้อมูลย้อนกลับได้ว่าเป็นไฟล์ของจริงจากนักพัฒนาโดยตรง ไม่ถูกแก้ไขหรือดัดแปลงโดยแฮ็กเกอร์ในภายหลัง
โครงการนี้ได้รับการสนับสนุนจากบริษัทใหญ่อย่างกูเกิลและ Red Hat ซึ่งก่อนหน้านี้ กูเกิลเพิ่งบริจาคเงินยกระดับ supply chain ให้กับแพ็กเกจของ Python เช่นกัน
ตอนนี้ sigstore ยังอยู่ในช่วงเริ่มพัฒนาเครื่องมือเก็บ log ชื่อ Rekor ที่มีทั้งฝั่งไคลเอนต์และเซิร์ฟเวอร์ ทางโครงการบอกว่าเลือกใช้ระบบไคลเอนต์-เซิร์ฟเวอร์ธรรมดา แทนการใช้บล็อคเชน เพราะเอาจริงๆ แล้วบล็อคเชนก็มักมีส่วนที่รวมศูนย์อยู่ดี และอัลกอริทึมแบบ consensus ก็มีข้อเสียเรื่อง majority attack ดังนั้นก็ไม่ต้องกระจายศูนย์ไปตั้งแต่ต้นดีกว่า (ตัว Rekor เปิดให้ใครนำไปใช้ตั้งเซิร์ฟเวอร์เองก็ได้ แต่ระบบที่ใช้จริงจะรันโดย Linux Foundation เอง)
ช่องโหว่ในกระบวนการพัฒนาซอฟต์แวร์ ที่อาจเกิด supply chain attack
ที่มา – Linux Foundation, sigstore