SFTPGo项目Windows平台代码签名解决方案演进

背景与挑战

SFTPGo作为一个开源的SFTP服务器项目，长期以来为Windows平台用户提供经过数字签名的安装包和二进制文件。数字签名对于Windows平台软件分发至关重要，它能确保软件来源的真实性和完整性，避免安全警告，也是提交到Chocolatey和WinGet等主流软件包管理平台的基本要求。

2021年，项目团队花费160美元购买了为期三年的代码签名证书，该证书将于2024年11月17日到期。然而近年来，证书行业发生了重大变化，新的代码签名证书要求使用硬件安全模块(HSM)，这使得原有的自动化签名流程无法继续使用GitHub Actions完成。

技术方案探索

面对证书更新问题，项目团队评估了多个技术方案：

1. 传统证书方案：新规要求使用HSM后，团队需要额外配置GitHub代理和硬件令牌，或者采用云解决方案，成本可能高达1000美元/3年，且需要更多人工操作。

2. 微软Trusted Signing服务：作为预览服务，该方案年费约120美元，但初期仅对企业用户开放。项目团队作为2024年新成立的有限责任公司(LLC)未能通过初步身份验证。

3. 商业用户专属方案：作为备选方案，考虑仅向商业用户提供签名服务。

最终解决方案

经过多方尝试，在微软Trusted Signing服务向独立开发者开放后，项目成功采用了该方案。技术实现要点包括：

• 在GitHub工作流中集成Trusted Signing服务
• 每月5000次签名的配额完全满足项目需求
• 年费维持在预期的120美元左右

技术意义

这一解决方案的落地意味着：

1. 持续免费提供：项目将继续为所有Windows用户免费提供签名后的安装包和二进制文件。

2. 自动化流程：保持了原有的自动化构建和签名流程，无需额外人工干预。

3. 成本可控：相比第三方供应商方案，年费降低了约60%。

4. 安全合规：采用微软官方签名服务，提高了软件供应链的安全性。

未来展望

随着Trusted Signing服务的成熟，SFTPGo项目计划将这一签名方案扩展到组织下的其他仓库。项目团队也将持续关注数字签名领域的最新技术发展，确保为用户提供安全可靠的软件分发体验。

这一案例也展示了开源项目在面对基础设施变化时的灵活应对能力，以及如何平衡成本、自动化与用户体验的多重需求。