Sigstore: Projecte per millorar la cadena de subministrament de el codi obert
Avui, parlarem de «Sigstore». Un de molts, dels projectes lliures i oberts sota la tutela de la Fundació Linux.
«Sigstore» és bàsicament, un projecte creat per a proporcionar un servei de bé públic, sense ànim de lucre, per a millorar la cadena de subministrament de programari de codi obert facilitant l'adopció de la signatura criptogràfica de programari recolzada per tecnologies de registre de transparència.
«Sigstore», No és l'únic Projecte de la Fundació Linux de el qual hem parlat en anteriors oportunitats. Un altre d'ells ha estat el Automotive Grade Linux (Linux de Grau automotriu), El qual descrivim en la seva oportunitat de la següent manera:
"Linux de Grau (Qualitat) Automotriu és un projecte de col·laboració de codi obert que està reunint als fabricants d'automòbils, proveïdors i empreses de tecnologia per accelerar el desenvolupament i l'adopció d'una pila de programari totalment obert per al cotxe de el futur. Amb Linux en el seu nucli, AGL està desenvolupant una plataforma oberta des de zero que pot servir com l'estàndard de facto de la indústria per permetre el ràpid desenvolupament de noves característiques i tecnologies." Fundació Linux: Present en el Show d'Electrònica de Consum 2020
Més endavant, en futures publicacions abordarem altres projectes, però per als que vulguin anar explorant per si mateix alguns d'ells, poden fer-ho mitjançant el següent enllaç: Projectes de la Fundació Linux.
Sigstore: Un projecte de la Fundació Linux
Què és Sigstore?
Segons el propi lloc web oficial de Sigstore, El mateix és:
"Un projecte creat amb l'objectiu de proporcionar un servei de bé públic, sense ànim de lucre, per millorar la cadena de subministrament de programari de codi obert facilitant l'adopció de la signatura criptogràfica de programari, recolzada per tecnologies de registre de transparència. A més, tracta de capacitar els desenvolupadors de programari per signar de forma segura artefactes de programari com arxius de llançament, imatges de contenidors, binaris, manifestos de llista de materials i més."
A més, aquest projecte busca assegurar que:
"Els materials signats s'emmagatzemin en un registre públic a prova de manipulacions."
Per què és important Sigstore?
Aquest projecte, les seves eines i membres, busca evitar els «atacs a la cadena de subministrament de programari », Tal com, el passat amb SolarWinds i altres molt coneguts en aquests últims temps.
"Microsoft va dir que els hackers van comprometre el programari d'administració i monitoratge Orion de SolarWinds, el que els va permetre fer-se passar per qualsevol usuari i compte existent en l'organització, inclosos els comptes amb molts privilegis. Es diu que Rússia ha explotat capes de la cadena de subministrament per accedir als sistemes de les agències governamentals."
S'entén per «atac a la cadena de subministrament de programari » a l'acte mitjançant el qual, un pirata informàtic (hacker) s'insereix, codi maliciós en un programari legítim, per aconseguir estendre el mateix per tot arreu.
Per tant, projectes lliures / oberts que siguin gratuïts i fàcils d'implementar, com «Sigstore» són cada vegada més necessaris en els nostres dies.
Com prevenir atacs a la cadena de subministraments de programari?
Encara que, ja en altres oportunitats, hem ofert alguns útils consells de seguretat informàtica, pràctics per a tots i en tot moment o situació, els següents consells estan directament enfocats a mitigar el més possible aquest tipus d'atacs:
- Mantenir un inventari de totes les eines de programari pròpies i de tercers, tant lliures i obertes, com privatives i tancades, que s'utilitzin.
- Estar atent sobre les vulnerabilitats conegudes i futures, de totes les aplicacions i sistemes usats, per aplicar el més aviat possible els pegats que estiguin disponibles oficialment.
- Mantenir-se informat sobre bretxes detectades o atacs realitzats, a proveïdors de programari propis i aliens, per evitar sorpreses inesperades per aquestes vies.
- Eliminar en el menor temps possible, aquells sistemes, serveis i protocols, que puguin ser redundants (innecessaris) o obsolets (sense ús).
- Planificar i implementar estratègies conjuntes i requisits de seguretat amb els seus proveïdors de programari, per minimitzar el risc informàtic provinent d'aquests i els seus propis processos de seguretat.
- Executar auditories de codi periòdiques. I mantenir actualitzades les revisions de seguretat i els procediments de control de canvis, requerits per a cada component de el codi creat o usat.
- Realitzar proves de penetració rutinàries per identificar perills potencials en la seva plataforma informàtica.
- Implementi mesures de seguretat informàtica, com ara, controls d'accés i doble factor d'autenticació (2FA) per protegir els processos de desenvolupament de programari.
- Executeu programari de seguretat amb múltiples capes de protecció. Sobretot contra intrusions, virus i rasomwares, tan comuns en aquests dies.
- Mantingui a el dia, el seu pla de còpia de seguretat o de contingència, per així mantenir de forma segura les dades vitals de les seves aplicacions, sistemes i activitats (processos), i poder recuperar qualsevol dels mateixos, en el menor temps possible.
més sobre Sigstore
Finalment, els desenvolupadors de «Sigstore» expliquen una mica el funcionament d'aquest projecte de la següent manera:
"Sigstore aprofita les tecnologies existents de x509 PKI i els registres de transparència. Els usuaris generen parells de claus efímeres de curta durada utilitzant les eines de client de sigstore. El servei PKI de sigstore proporcionarà llavors un certificat de signatura generat després d'una concessió reeixida de OpenID connect. Tots els certificats es registren en un registre de transparència de certificats i els materials de signatura de programari s'envien a un registre de transparència de signatures."
"L'ús de registres de transparència introdueix una arrel de confiança en el compte OpenID de l'usuari. Així podem tenir garanties que l'usuari reclamat estava en control del compte d'un proveïdor de serveis d'identitat en el moment de la signatura. Un cop completada l'operació de signatura, les claus poden ser descartades, eliminant qualsevol necessitat de gestió addicional de claus o necessitat de revocació o rotació."
Per a més informació sobre «Sigstore» pot visitar la seva lloc web oficial a GitHub i la seva Comunitat (Grup) públic sobre google.
Resum
Esperem que aquesta "petita i útil publicació" sobre «Sigstore», Un interessant i útil projecte de la Fundació Linux, Que és un servei de transparència i signatura d'programari de bé públic i sense ànim de lucre, creat per millorar la cadena de subministrament de programari de codi obert; sigui de molt interès i utilitat, per a tota la «Comunidad de Software Libre y Código Abierto» i de gran contribució a la difusió de l'meravellós, gegantí i creixent ecosistema d'aplicacions de «GNU/Linux».
Per ara, si t'ha agradat aquesta publicación, No deixis de compartir amb d'altres, en els teus llocs web, canals, grups o comunitats favorites de xarxes socials o sistemes de missatgeria, preferiblement lliures, obertes i / o més segures com telegram, Senyal, Mastodon o una altra de l' Fedivers, Preferiblement.
I recorda visitar la nostra pàgina d'inici en «DesdeLinux» per explorar més notícies, a més d'unir-te al nostre canal oficial de Telegram de DesdeLinux. Mentre que, per a més informació, pots visitar qualsevol Biblioteca en línia com a OpenLibra y jEdit, per accedir i llegir llibres digitals (PDFs) sobre aquest tema o altres.