Sigstore, un servizo gratuíto para verificar a orixe e autenticidade do software

Nun esforzo por asegurar a cadea de subministración de software libre, o Fundación Linux (a organización sen ánimo de lucro que fomenta a innovación a través do código aberto) asociouse con Red Hat, Google e a Universidade Purdue para o lanzamento un novo proxecto para axudar aos desenvolvedores a adoptar facilmente a sinatura criptográfica no software.

esta novo proxecto está apoiado por tecnoloxías de transparencia discográfica, xa que o proxecto de software de código aberto está a aumentar a taxa de adopción industrial, Sigstore, ten como obxectivo evitar que un ataque a un repositorio público de software inxecte código corrupto na cadea de subministración.

sigstore permitirá aos desenvolvedores de software asinar de forma segura artefactos de software como ficheiros de versión, imaxes de contedores e binarios. Menciónase que os elementos asinados gárdanse nun diario público a proba de manipulacións.

SigStore trata de permitir aos desenvolvedores comprender e confirmar a orixe e autenticidade do software baseado nun conxunto de enfoques e formatos de datos a miúdo dispares. As solucións existentes baséanse a miúdo en "resumos" (hash ou resultados dunha función hash) almacenados en sistemas inseguros, que poden corromperse e provocar varios ataques, como o cambio de hash ou a función hash, ataques dirixidos contra os usuarios.

O uso do servizo será gratuíto para todos os desenvolvedores e vendedores de software, e a comunidade SigStore desenvolverá o código e as ferramentas operativas para o sigstore. Red Hat, Google e a Universidade Purdue están entre os membros fundadores do proxecto.

"Sigstore permite a todas as comunidades de código aberto asinar o seu software e combina procedencia, integridade e descubrimento para crear unha cadea de subministración de software transparente e verificable", dixo Luke Hinds, xefe de seguridade da oficina do CTO de Red Hat. "Aloxando esta colaboración na Fundación Linux, podemos acelerar o noso traballo en sigstore e apoiar a adopción e o impacto continuos de software e desenvolvemento de código aberto".

"A seguridade dunha implementación de software debería comezar por asegurarse de que estamos executando o software que cremos que temos. sigstore representa unha gran oportunidade para aportar máis confianza e transparencia á cadea de subministración de software de código aberto ", dixo Josh Aas,

Argumentando que a moderna cadea de subministración de software está exposta a múltiples riscos, o proxecto di que as ferramentas existentes, que inclúen persoas que se atopan en persoa para asinar chaves e que funcionaron ben durante tanto tempo, xa non se pode acadar na contorna actual con áreas xeograficamente dispersas.

Tamén se menciona que hai moi poucos proxectos de código aberto que asinen criptográficamente artefactos da versión de software. Isto débese en gran parte aos retos aos que se enfrontan os mantedores de software na xestión de claves, compromisos clave, revogación e distribución de claves públicas e artefactos hash. Isto significa que os usuarios deben descubrir en que claves confiar e aprender os pasos necesarios para validar a sinatura.

“Sigstore ten como obxectivo facer verificables todas as versións do software de código aberto e facilitar a verificación por parte dos usuarios. Esperemos que poidamos facelo tan sinxelo como saír de vim ", dixo Dan Lorenc, enxeñeiro de software do equipo de seguridade de software de código aberto de Google. 

Outro problema é como se distribúen os hash e as claves públicas; adoitan almacenarse en sitios web potencialmente pirateados ou nun ficheiro README situado nun repositorio público de git.

SigStore trata de resolver estes problemas usando claves efémeras de curta duración cunha raíz de confianza extraída dun rexistro de transparencia pública aberto e verificable. O novo servizo axudará aos desenvolvedores e usuarios a comprender e confirmar a orixe e autenticidade do software, cunha sobrecarga mínima.

“Estou moi entusiasmado cun sistema como sigstore. O ecosistema do software precisa urxentemente tal sistema para informar sobre o estado da cadea de subministración. Creo que con sigstore, que responde a todas as preguntas sobre fontes e propiedade de software, podemos comezar a facer preguntas sobre destinos de software, consumidores, conformidade (legal ou non), para identificar redes criminais e protexer infraestruturas de software críticas. ”, Dixo Santiago Torres-Arias

 


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.