Fácil firma de código y verificación para la integridad de la cadena de suministro


Uno de los problemas de seguridad fundamentales con el código abierto es que es difícil saber de dónde proviene el program o cómo se construyó, lo que lo hace inclined a los ataques de la cadena de suministro. Algunos ejemplos recientes de esto incluyen ataque de confusión de dependencia y paquete RubyGems malicioso para robar criptomonedas.

Hoy damos la bienvenida al anuncio de sigstore, un nuevo proyecto en el Fundación Linux que tiene como objetivo resolver este problema mejorando la integridad y verificación de la cadena de suministro de software program.

Instalar la mayoría del software package de código abierto hoy en día equivale a tomar una memoria USB aleatoria de la acera y conectarla a su máquina. Para abordar esto, debemos hacer posible verificar la procedencia de todo el program, incluidos los paquetes de código abierto. Hablamos de la importancia de esto en nuestro reciente Conocer, prevenir, arreglar correo.

La misión de sigstore es facilitar que los desarrolladores firmen las versiones y que los usuarios las verifiquen. Puedes pensar en ello como Vamos a cifrar para la firma de código. Al igual que Let’s Encrypt proporciona certificados gratuitos y herramientas de automatización para HTTPS, sigstore proporciona certificados y herramientas gratuitos para automatizar y verificar firmas de código fuente. Sigstore también tiene el beneficio adicional de estar respaldado por registros de transparencia, lo que significa que todos los certificados y atestaciones son globalmente visibles, detectables y auditables.

Sigstore está diseñado con mantenedores de código abierto, para mantenedores de código abierto. Entendemos que la administración de claves a largo plazo es difícil, por lo que hemos adoptado un enfoque único para emitir certificados de corta duración basados ​​en las subvenciones de OpenID Join. Sigstore también almacena toda la actividad en registros de transparencia, respaldados por Trillian para que podamos detectar más fácilmente los riesgos y recuperarnos de ellos cuando se produzcan. La distribución de claves es notoriamente difícil, por lo que hemos eliminado su necesidad mediante la creación de una CA raíz especial solo para la firma de código, que estará disponible de forma gratuita.

Tenemos un prototipo funcional y una prueba de conceptos que nos complace compartir para recibir comentarios. Nuestro objetivo es que sea sencillo y sencillo firmar y verificar el código:

Ha sido divertido colaborar con la gente de sombrero rojo y la comunidad de código abierto en este proyecto. Luke Hinds, uno de los desarrolladores principales de sigstore y jefe de ingeniería de seguridad en Pink Hat, dice: «Estoy muy entusiasmado con sigstore y lo que esto significa para mejorar la seguridad de las cadenas de suministro de computer software. Sigstore es un excelente ejemplo de una comunidad de código abierto juntos para colaborar y desarrollar una solución que facilite la adopción de firmas de computer software de manera transparente «. No podríamos estar más de acuerdo.

Mike Malone, director ejecutivo de Pequeño paso, ayudó con el diseño typical de sigstore. Agrega: “En menos de una generación, el código abierto ha pasado de ser una comunidad de nicho a convertirse en un ecosistema crítico que impulsa nuestra economía world wide y las instituciones de la sociedad y la cultura. Debemos garantizar la seguridad de este ecosistema sin socavar la colaboración abierta y descentralizada que lo hace funcionar. Al construir sobre una composición inteligente de tecnologías existentes que respetan la privacidad y trabajan a escala, sigstore es la infraestructura central que necesitamos para resolver este problema elementary. Es un proyecto ambicioso con potencial de impacto world wide. Estoy impresionado por el rápido progreso que han logrado Google, Red Hat y la Fundación Linux en los últimos meses, y estoy emocionado de escuchar los comentarios de la comunidad en common «.

Si bien estamos contentos con el progreso que se ha logrado, sabemos que aún queda trabajo por hacer antes de que se pueda confiar ampliamente en esto. Los próximos planes para sigstore incluyen: fortalecer el sistema, agregar soporte para otros proveedores de OpenID Link, actualizar la documentación y responder a los comentarios de la comunidad.

Sigstore está en sus inicios, pero estamos muy entusiasmados con su futuro. Ahora es un buen momento para proporcionar comentarios, probar las herramientas e involucrarse con el proyecto ya que los detalles de diseño aún se están refinando.



Enlace a la noticia initial