SigstorePython 发布首个稳定版本，提升软件供应链安全

关键要点

Sigstore 社区今天宣布 推出了首个稳定版本的 sigstorepython，旨在提升软件供应链的安全性，并为正在开发中的其他 Sigstore 客户端实施铺平道路。

Sigstore 是一个由 Linux 基金会推出的开源项目，旨在为所有开发者提供免费的稳定服务，以便他们能够轻松签名、验证和保护他们的软件项目。虽然代码签名是防止黑客篡改补丁系统和分发恶意软件的有价值工具，但由于密钥管理的复杂性，在开源项目中实施起来比较困难。

作为项目的一部分，sigstorepython 由 Google 的开源安全团队资助，旨在提供一个与 Sigstore 兼容的客户端，类似于 cosign，但完全用 Python 编写，并易于被 Python 生态系统采用。

“今天 sigstorepython 的发布是 sigstore 和 Python 社区的重要里程碑，”sigstore 项目的联合创始人、Google 开源安全团队的技术负责人 Bob Callaway 告诉 SC Media。“稳定的 Python 原生实现 Sigstore 的签名和验证工作流，使 Python 开发者和包维护者在不需要管理私钥的重负担下提升了 Python 软件供应链的安全性。”

sigstorepython 只是众多正在开发的Sigstore 客户端之一，涵盖 Ruby、Java、Rust、Go 和 JavaScript 等编程语言。虽然 sigstorepython 不是最早的实现，但它比其他实现更具权威性，致力于“简洁且正确地实现 Sigstore 安全模型的复杂性”，这可能为其他客户端实现奠定关键的技术基础，Trail of Bits 的资深安全工程师 William Woodruff 说。

“sigstorepython 旨在成为 Sigstore 客户端的‘参考’实现，这意味着它将成为其他早期开发阶段 Sigstore 客户端实现的重要技术参考如 Rust 实现，” Woodruff 告诉 SC Media。“我相信，整个代码库是为了被 Sigstore 社区的其他成员阅读和使用，我们保持这种可参考性的水平是我们在继续添加功能时的重点长期目标之一。”

sigstorepython 最显著的两个特点之一是设计了一个公共的 Python API 和命令行界面CLI，以避免加密工具的误用，这涉及到项目开发中的两个基本操作：签名和验证。

关于下一步，Woodruff 表示他的团队与其他 Sigstore 社区成员合作，正在标准化签名材料的捆绑格式，并希望不久后能加入对捆绑文件的签名和验证支持。

此外，他们的团队还将进一步将 Sigstore 整合到 Python 包索引中，这是一个开发者常用的开源软件仓库，并稳定其相关的 GitHub Action。

“GitHub 自豪地与开源社区合作，参与 Sigstore 规格、实现，并帮助运行公共服务器，让这一能力在 PyPI、npm 和其他包管理器中实现，”Sigstore 技术指导委员会成员兼 GitHub 的工程经理 Trevor Rosen 向 SC Media 说道。

“[Sigstore] 渴望继续与 Python 社区合作，将 sigstorepython 整合到 Python 的打包工具和基础设施中，让 Python 开发者享受到现代、透明的数字签名的好处，”Callaway 补充道。