osslsigncode 2.10版本发布：增强代码签名功能与安全性

项目简介

osslsigncode是一个开源的代码签名工具，主要用于为Windows平台的可执行文件（如.exe、.dll等）和安装包（如.msi）创建数字签名。它作为微软signtool.exe的开源替代方案，支持多种签名格式，包括Authenticode签名和Catalog签名。该项目特别适合在Linux/macOS环境下为Windows应用程序进行代码签名，同时也支持Windows平台本身。

2.10版本主要更新内容

1. JavaScript签名支持

新版本增加了对JavaScript文件的签名能力。在现代Web开发中，JavaScript代码的安全性越来越受到重视，能够为JS文件添加数字签名可以确保代码来源的可信性，防止篡改。

2. PKCS#11提供程序支持

2.10版本引入了对PKCS#11提供程序的支持，这需要OpenSSL 3.0或更高版本。PKCS#11是一个跨平台的API标准，用于访问安全令牌（如智能卡和硬件安全模块HSM）中的加密信息。这一改进使得osslsigncode能够更灵活地与各种硬件安全设备集成。

值得注意的是，新版本还支持不指定"-pkcs11module"选项的提供程序（OpenSSL 3.0+），这为即将推出的CNG（Cryptography Next Generation）提供程序铺平了道路。

3. CNG引擎兼容性增强

新版本改进了与CNG引擎1.1或更高版本的兼容性。CNG是微软推出的下一代加密API，提供了更强大的加密功能。同时新增了"-engineCtrl"选项，用于更好地控制硬件和CNG引擎的行为。

4. Blob文件处理改进

新增了"-blobFile"选项，允许用户指定包含blob内容的文件。Blob（二进制大对象）在代码签名中常用于存储加密的私钥信息。此外，还改进了对未认证blob的支持，这使得在不进行完整认证流程的情况下处理blob成为可能。

5. 国际化与编码支持

增强了UTF-8处理能力，特别是针对证书主题和颁发者的显示。这使得非英语字符（如中文、日文等）能够正确显示在证书信息中，提高了国际化的支持程度。

6. 签名格式兼容性修复

修复了多个signerInfo contentType OID（对象标识符）的支持问题，特别是针对CTL（证书信任列表）和Authenticode签名。这提高了与各种签名格式的兼容性，确保签名后的文件能够在不同环境中被正确验证。

7. 测试框架改进

更新了测试用例以兼容python-cryptography 43.0.0及以上版本，确保了测试环境的现代性和可靠性。

技术意义与应用场景

osslsigncode 2.10的这些改进为开发者和企业提供了更强大、更灵活的代码签名解决方案：

1. 跨平台开发：Linux/macOS开发者可以方便地为Windows应用程序签名，无需切换到Windows环境。

2. 硬件安全集成：通过PKCS#11和CNG支持，企业可以将签名密钥存储在HSM等安全设备中，大幅提高密钥安全性。

3. 自动化流程：新增的文件选项和引擎控制选项使得osslsigncode更容易集成到CI/CD流水线中。

4. 多语言支持：改进的UTF-8处理能力使得国际化团队能够更好地管理多语言环境下的代码签名。

总结

osslsigncode 2.10版本通过引入JavaScript签名、增强PKCS#11和CNG支持、改进blob处理等多方面改进，进一步巩固了其作为开源代码签名工具领导者的地位。这些更新不仅提高了功能性，也增强了安全性和可用性，使其成为跨平台开发环境中不可或缺的工具。对于需要确保代码完整性和来源可信性的开发团队来说，升级到2.10版本将带来显著的价值提升。