Es va donar a conèixer la notícia que a GitHub s'ha posat a discussió una proposta per implementar el servei Sigstore per verificar paquets amb firmes digitals i mantenir un registre públic per confirmar l'autenticitat en distribuir llançaments.
Sobre la proposta s'esmenta que l'ús de Sigstore permetrà implementar un nivell addicional de protecció contra atacs dirigits a reemplaçar components i dependències de programari (cadena de subministrament).
Assegurar la cadena de subministrament de programari és un dels majors desafiaments de seguretat que enfronta la nostra indústria en aquest moment. Aquesta proposta és un proper pas important, però resoldre veritablement aquest desafiament requerirà compromís i inversió a tota la comunitat…
Aquests canvis ajuden a protegir els consumidors de codi obert dels atacs a la cadena de subministrament de programari; en altres paraules, quan els usuaris malintencionats intenten propagar malware violant el compte d'un mantenidor i afegint programari maliciós a les dependències de codi obert que usen molts desenvolupadors.
Per exemple, el canvi implementat protegirà les fonts dels projectes en cas que el compte de desenvolupador d'una de les dependències a NPM es vegi compromès i un atacant generi una actualització de paquet amb codi maliciós.
Cal esmentar que Sigstore no és només una altra eina de signatura de codi, ja que el seu enfocament normal és eliminar la necessitat d'administrar claus de signatura mitjançant l'emissió de claus a curt termini basades en identitats d'OpenID Connect (OIDC), alhora que registra les accions en un llibre major immutable anomenat rekor, a més que Sigstore té la seva pròpia autoritat de certificació anomenada Fulcio
Gràcies al nou nivell de protecció, els desenvolupadors podran vincular el paquet generat amb el codi font utilitzat i l'entorn de construcció, donant a l'usuari l'oportunitat de verificar que el contingut del paquet es correspon amb el contingut de les fonts al repositori del projecte principal.
L'ús de Sigstore simplifica enormement el procés de gestió de claus i elimina les complexitats associades amb el registre, la revocació i la gestió de claus criptogràfiques. Sigstore es promociona com a Let's Encrypt per al codi, proporcionant certificats per al codi de signatura digital i eines per automatitzar la verificació.
Avui obrim una nova sol·licitud de comentaris (RFC) , que analitza la vinculació d'un paquet amb el vostre repositori d'origen i el seu entorn de compilació. Quan els mantenidors de paquets opten per aquest sistema, els consumidors dels seus paquets poden tenir més confiança que el contingut del paquet coincideix amb el contingut del dipòsit vinculat.
En lloc de claus permanents, Sigstore utilitza claus efímeres de curta durada que es generen en funció dels permisos. El material utilitzat per a la signatura es reflecteix en un registre públic protegit de modificació, cosa que li permet assegurar-se que l'autor de la signatura és exactament qui diu que és, i la signatura va ser formada pel mateix participant que va ser responsable.
El projecte ha vist una adopció primerenca amb altres ecosistemes d'administradors de paquets. Amb el RFC d'avui, us proposem afegir suport per a la signatura d'un extrem a un altre de paquets npm mitjançant Sigstore. Aquest procés inclouria la generació de certificacions sobre on, quan i com es va crear el paquet, perquè es pugui verificar més endavant.
Per garantir la integritat i la protecció contra la corrupció de dades, sutilitza una estructura darbre Merkle Tree en què cada branca verifica totes les branques i nodes subjacents a través de hash conjunt (arbre). En tenir un hash final, l'usuari pot verificar l'exactitud de tot l'historial d'operacions, així com l'exactitud dels estats passats de la base de dades (el hash de verificació arrel del nou estat de la base de dades es calcula tenint en compte l'estat passat).
Finalment, cal esmentar que Sigstore està desenvolupat conjuntament per Linux Foundation, Google, Red Hat, Purdue University i Chainguard.
Si vols conèixer més sobre això, pots consultar els detalls a el següent enllaç.