Sigstore, un servei gratuït per a verificar l'origen i l'autenticitat del programari

En un esforç per assegurar la cadena de subministrament de programari lliure, la Fundació Linux (L'organització sense ànim de lucre que fomenta la innovació a través de el codi obert) s'ha associat amb Red Hat, Google i la Universitat Purdue per llançar un nou projecte per ajudar als desenvolupadors a adoptar fàcilment la signatura criptogràfica en el programari.

Aquest nou projecte és recolzat per tecnologies de transparència de registres, ja que la taxa d'adopció industrial de programari de codi obert en constant augment, el projecte, Sigstore, té com a objectiu evitar que un atac a un repositori de programari públic injecti codi corrupte en la cadena de subministrament.

Sigstore permetrà als desenvolupadors de programari signar de forma segura artefactes de programari com arxius de versió, imatges de contenidor i binaris. S'esmenta que els elements signats s'emmagatzemen en un diari públic a prova de manipulacions.

SigStore busca que els desenvolupadors puguin comprendre i confirmar l'origen i l'autenticitat del programari que es basa en un conjunt d'enfocaments i formats de dades sovint dispars. Les solucions existents es basen sovint en «resums» (hash o resultats d'una funció hash) emmagatzemats en sistemes insegurs, que poden estar corromputs i donar lloc a diversos atacs, com l'intercanvi de hash o funció hash, atacs dirigits contra usuaris.

L'ús del servei serà gratuït per a tots els desenvolupadors i proveïdors de programari, I la comunitat SigStore desenvoluparà el codi i les eines operatives de sigstore. Red Hat, Google i Purdue University es troben entre els membres fundadors de el projecte.

"Sigstore permet que totes les comunitats de codi obert signin el seu programari i combina procedència, integritat i capacitat de descobriment per crear una cadena de subministrament de programari transparent i verificable", va dir Luke Hinds, director de seguretat de l'oficina de CTO de Red Hat . «A l'albergar aquesta col·laboració a la Fundació Linux, podem accelerar el nostre treball en sigstore i recolzar l'adopció i l'impacte continus de el desenvolupament i el programari de codi obert».

"Assegurar una implementació de programari ha de començar amb assegurar-nos que estem executant el programari que creiem que tenim. sigstore representa una gran oportunitat per brindar més confiança i transparència a la cadena de subministrament de programari de codi obert ", va dir Josh Aas,

Argumentant que la cadena de subministrament de programari modern està exposada a múltiples riscos, el projecte diu que les eines existents, Que involucren a persones que es reuneixen en persona per signar claus, i que han funcionat bé durant tant de temps, ja no es poden aconseguir en l'entorn actual amb àrees geogràficament disperses.

A més, que s'esmenta que existeixen molt pocs projectes de codi obert que signen criptogràficament artefactes de versió de programari. Això es deu en gran part als desafiaments que enfronten els mantenidors de programari en l'administració de claus, compromisos de claus, revocació i distribució de claus públiques i artefactes hash. Això significa que els usuaris han d'esbrinar en quines claus confiar i aprendre els passos necessaris per a validar la signatura.

"Sigstore té com a objectiu fer que totes les versions de programari de codi obert siguin verificables i facilitar la seva verificació per part dels usuaris. Tant de bo puguem fer això tan fàcil com sortir de vim ", va dir Dan Lorenc, enginyer de programari de l'equip de seguretat de programari de codi obert de Google. 

Un altre problema és com es distribueixen els hash i les claus públiques: sovint s'emmagatzemen en llocs web potencialment piratejats o en un arxiu README ubicat en un repositori públic de git.

SigStore busca abordar aquests problemes mitjançant l'ús de claus efímeres de curta durada amb una arrel de confiança extreta d'un registre de transparència públic obert i verificable. El nou servei ajudarà als desenvolupadors i usuaris a comprendre i confirmar l'origen i l'autenticitat del programari, amb una sobrecàrrega mínima.

"Estic molt entusiasmat amb un sistema com sigstore. L'ecosistema de programari necessita urgentment un sistema d'aquest tipus per informar sobre l'estat de la cadena de subministrament. Crec que amb sigstore, que respon a totes les preguntes sobre les fonts i la propietat del programari, podem començar a fer preguntes sobre les destinacions de el programari, els consumidors, el compliment (legal i d'un altre tipus), per identificar xarxes criminals i assegurar les infraestructures de programari crítiques. ", va dir Santiago Torres-Arias


Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.