Sigstore : Projet d'amélioration de la supply chain open source
Aujourd'hui, nous allons parler de "Sigstore". L'un des nombreux, des projets libres et ouverts sous la tutelle du Fondation Linux.
"Sigstore" Il s'agit essentiellement d'un projet créé pour fournir un service d'intérêt public, à but non lucratif, à améliorer la chaîne d'approvisionnement de logiciel open source faciliter l'adoption d'une signature cryptographique logicielle soutenue par des technologies d'enregistrement transparent.
"Sigstore", ce n'est pas le seul Projet de la Fondation Linux dont nous avons déjà parlé à plusieurs reprises. Un autre d'entre eux a été Linux de qualité automobile, que nous décrivons à l'époque comme suit :
"Automotive Grade (Quality) Linux est un projet collaboratif open source qui rassemble des constructeurs automobiles, des vendeurs et des entreprises technologiques pour accélérer le développement et l'adoption d'une pile logicielle entièrement ouverte pour la voiture du futur. Avec Linux à sa base, AGL développe une plate-forme ouverte à partir de zéro qui peut servir de norme de facto de l'industrie pour permettre le développement rapide de nouvelles fonctionnalités et technologies. » Linux Foundation: Présent au Consumer Electronics Show 2020
Plus tard, dans de futures publications, nous aborderons d'autres projets, mais pour ceux qui souhaitent explorer certains d'entre eux par eux-mêmes, ils peuvent le faire via le lien suivant : Projets de la Fondation Linux.
Sigstore : Un projet de la Linux Foundation
Qu'est-ce que Sigstore ?
Selon lui Site officiel de Sigstore, la même chose est:
"Un projet créé dans le but de fournir un service de bien public à but non lucratif pour améliorer la chaîne d'approvisionnement des logiciels open source en facilitant l'adoption de la signature cryptographique logicielle, soutenue par des technologies d'enregistrement transparent. En outre, il essaie de former les développeurs de logiciels à signer en toute sécurité les artefacts logiciels tels que les fichiers de version, les images de conteneur, les fichiers binaires, les manifestes de nomenclature, etc. »
De plus, ce projet vise à assurer que :
"Les documents signés sont conservés dans un dossier public inviolable. »
Pourquoi Sigstore est-il important ?
Ce projet, ses outils et ses membres, cherche à éviter «attaques sur la chaîne d'approvisionnement du logiciel », comme ce qui s'est passé avec SolarWinds et d'autres bien connus ces derniers temps.
"Microsoft a déclaré que des pirates avaient compromis le logiciel de surveillance et de gestion Orion de SolarWinds, leur permettant d'usurper l'identité de n'importe quel utilisateur et compte existant dans l'organisation, y compris les comptes hautement privilégiés. La Russie aurait exploité des couches de la chaîne d'approvisionnement pour accéder aux systèmes des agences gouvernementales. »
Être compris par «attaque contre la chaîne d'approvisionnement du logiciel » à l'acte par lequel, Un pirate insère un code malveillant dans un logiciel légitime pour le diffuser partout.
Par conséquent, des projets libres/ouverts, gratuits et faciles à mettre en œuvre, tels que "Sigstore" ils sont de plus en plus nécessaires de nos jours.
Comment prévenir les attaques sur la supply chain logicielle ?
Bien que, à d'autres occasions, nous ayons offert des conseils de sécurité de l'information utiles, pratiques pour tout le monde et à tout moment ou situation, les conseils suivants visent directement à atténuer autant que possible ce type d'attaque :
- Tenir à jour un inventaire de tous les outils logiciels propres et tiers, à la fois gratuits et ouverts, et propriétaires et fermés, qui sont utilisés.
- Soyez attentif aux vulnérabilités connues et futures, de toutes les applications et systèmes utilisés, pour appliquer dans les plus brefs délais les correctifs officiellement disponibles.
- Restez informé des violations détectées ou des attaques menées, auprès de vos propres fournisseurs de logiciels et de tiers, afin d'éviter les surprises inattendues de cette manière.
- Éliminez dans les plus brefs délais les systèmes, services et protocoles qui peuvent être redondants (inutiles) ou obsolètes (inutilisés).
- Planifiez et mettez en œuvre des stratégies et des exigences de sécurité communes avec vos fournisseurs de logiciels, afin de minimiser les risques informatiques liés à eux et à vos propres processus de sécurité.
- Exécutez des audits de code réguliers. Et maintenez à jour les revues de sécurité et les procédures de contrôle des modifications, requises pour chaque composant du code créé ou utilisé.
- Effectuez des tests de pénétration de routine pour identifier les dangers potentiels sur votre plate-forme informatique.
- Mettez en œuvre des mesures de sécurité informatique telles que les contrôles d'accès et l'authentification à double facteur (2FA) pour protéger les processus de développement logiciel.
- Exécutez un logiciel de sécurité avec plusieurs couches de protection. Surtout contre les intrusions, les virus et les rasomwares, si courants de nos jours.
- Gardez votre plan de secours ou d'urgence à jour, afin de conserver en toute sécurité les données vitales de vos applications, systèmes et activités (processus), et être en mesure de récupérer n'importe laquelle d'entre elles, dans les plus brefs délais.
Plus sur magasin de signatures
Enfin, les développeurs de "Sigstore" ils expliquent un peu le fonctionnement de ce projet de la manière suivante :
"magasin de signatures exploite les technologies PKI x509 existantes et les registres de transparence. Les utilisateurs génèrent des paires de clés éphémères de courte durée à l'aide des outils clients sigstore. Le service PKI sigstore fournira alors un certificat de signature généré après une autorisation de connexion OpenID réussie. Tous les certificats sont enregistrés dans un registre de transparence des certificats et les documents de signature logicielle sont soumis à un registre de transparence des signatures. »
"L'utilisation d'enregistrements de transparence introduit une racine de confiance dans le compte OpenID de l'utilisateur. Ainsi, nous pouvons avoir des garanties que l'utilisateur revendiqué était en contrôle du compte d'un fournisseur de services d'identité au moment de la signature. Une fois l'opération de signature terminée, les clés peuvent être supprimées, éliminant ainsi tout besoin de gestion de clés supplémentaire ou le besoin de révocation ou de rotation. »
Pour plus d'informations sur "Sigstore" vous pouvez visiter votre site officiel sur GitHub et leur Communauté (Groupe) public sur Google.
Résumé
Nous espérons que "petit message utile » sur «Sigstore», un projet intéressant et utile de la Fondation Linux, Qu'est-ce qu'un service de transparence et signature logicielle bien public et à but non lucratif, créé pour améliorer la chaîne d'approvisionnement logiciels open source; est d'un grand intérêt et d'une grande utilité, pour l'ensemble «Comunidad de Software Libre y Código Abierto» et d'une grande contribution à la diffusion de l'écosystème merveilleux, gigantesque et croissant d'applications de «GNU/Linux».
Pour l'instant, si vous avez aimé ça publicación, Ne vous arrêtez pas partager avec d'autres, sur vos sites Web, canaux, groupes ou communautés de réseaux sociaux ou systèmes de messagerie préférés, de préférence gratuits, ouverts et / ou plus sécurisés que Telegram, Signal, Mastodonte ou un autre de Fediverse, de préférence.
Et n'oubliez pas de visiter notre page d'accueil à «DesdeLinux» pour explorer plus d'actualités et rejoindre notre chaîne officielle de Télégramme de DesdeLinux. Alors que, pour plus d'informations, vous pouvez visiter n'importe quel Bibliothèque en ligne comme OpenBalance y Jedit, pour accéder et lire des livres numériques (PDF) sur ce sujet ou d'autres.