Microsoft Signing Transparency: Secure Software Supply Chains
6 months ago
- #Microsoft
- #Supply Chain
- #Software Security
- 微软宣布推出Signing Transparency预览版,旨在增强软件供应链安全性。
- Signing Transparency采用仅追加日志和安全飞地技术,提供可验证的签名记录。
- 现代软件供应链面临构建系统遭入侵、证书被盗等威胁。
- 透明日志使每个已签名产物的签名可公开审计,有效威慑恶意活动。
- 该服务充当公正的公证人,确保软件版本不会被秘密篡改。
- 采用COSE信封格式并遵循IETF SCITT开放安全标准。
- 联署签名和默克尔树账本技术保障记录防篡改,提供可验证回执。
- 机密计算(TEE)和CCF框架支撑账本,确保数据完整性与不可变性。
- 优势包括防篡改版本发布、独立验证能力及合规审计追踪。
- 服务范围涵盖固件和硬件,支撑更广泛的供应链完整性。
- 企业可通过策略执行、追责机制和密钥泄露防护提升安全性。
- 该服务有助于快速检测供应链攻击,通过透明度机制建立信任。