Nel tentativo di proteggere la catena di fornitura del software libero, il Linux Foundation (l'organizzazione non profit che promuove l'innovazione attraverso l'open source) ha collaborato con Red Hat, Google e Purdue University per il lancio un nuovo progetto per aiutare gli sviluppatori ad adottare facilmente la firma crittografica nel software.
Questo nuovo progetto è supportato da tecnologie di trasparenza record, come il crescente tasso di adozione industriale di software open source, il progetto, Sigstore, mira a impedire che un attacco a un repository di software pubblico inietti codice corrotto nella catena di approvvigionamento.
sigstore consentirà agli sviluppatori di software di firmare in modo sicuro artefatti software come file di versione, immagini del contenitore e file binari. Si dice che gli elementi firmati sono archiviati in un giornale pubblico a prova di manomissione.
SigStore cerca di consentire agli sviluppatori di comprendere e confermare l'origine e l'autenticità del software che si basa su una serie spesso disparata di approcci e formati di dati. Le soluzioni esistenti sono spesso basate su "riepiloghi" (hash o risultati di una funzione hash) archiviati su sistemi non sicuri, che possono essere danneggiati e portare a vari attacchi, come lo scambio hash o la funzione hash, attacchi diretti contro gli utenti.
L'uso del servizio sarà gratuito per tutti gli sviluppatori e fornitori di softwaree la comunità di SigStore svilupperà il codice e gli strumenti operativi per il sigstore. Red Hat, Google e Purdue University sono tra i membri fondatori del progetto.
"Sigstore consente a tutte le comunità open source di firmare il proprio software e combina provenienza, integrità e rilevabilità per creare una catena di fornitura del software trasparente e verificabile", ha affermato Luke Hinds, chief security officer, Red Hat CTO office. "Ospitando questa collaborazione presso la Linux Foundation, possiamo accelerare il nostro lavoro su sigstore e supportare l'adozione continua e l'impatto del software e dello sviluppo open source".
"La sicurezza di un'implementazione del software dovrebbe iniziare assicurandosi che stiamo eseguendo il software che pensiamo di avere. sigstore rappresenta una grande opportunità per aumentare la fiducia e la trasparenza nella catena di fornitura del software open source ", ha affermato Josh Aas,
Sostenendo che la moderna catena di fornitura del software è esposta a molteplici rischi, il progetto dice che gli strumenti esistenti, che coinvolgono persone che si incontrano di persona per firmare le chiavi e che hanno funzionato bene per così tanto tempo, non può più essere raggiunto nell'ambiente odierno con aree geograficamente disperse.
Inoltre, è stato detto che ci sono pochissimi progetti open source che firmano crittograficamente gli artefatti della versione software. Ciò è dovuto in gran parte alle sfide che i manutentori di software devono affrontare nella gestione delle chiavi, nella compromissione delle chiavi, nella revoca e nella distribuzione di chiavi pubbliche e artefatti hash. Ciò significa che gli utenti devono individuare le chiavi di cui fidarsi e apprendere i passaggi necessari per convalidare la firma.
“Sigstore mira a rendere verificabili tutte le versioni del software open source e a facilitare la verifica da parte degli utenti. Speriamo di poter rendere tutto più semplice come uscire da vim ", ha affermato Dan Lorenc, ingegnere del software del team di sicurezza del software open source di Google.
Un altro problema è come vengono distribuiti gli hash e le chiavi pubbliche: sono spesso archiviati su siti Web potenzialmente compromessi o in un file README situato in un repository git pubblico.
SigStore cerca di affrontare questi problemi utilizzando chiavi temporanee di breve durata con una radice di fiducia ricavata da un registro di trasparenza pubblico aperto e verificabile. Il nuovo servizio aiuterà gli sviluppatori e gli utenti a comprendere e confermare l'origine e l'autenticità del software, con un sovraccarico minimo.
“Sono molto entusiasta di un sistema come sigstore. L'ecosistema del software ha urgente bisogno di un tale sistema per riferire sullo stato della catena di fornitura. Penso che con sigstore, che risponde a tutte le domande sulle fonti e sulla proprietà del software, possiamo iniziare a fare domande sulle destinazioni del software, i consumatori, la conformità (legale e non), per identificare le reti criminali e proteggere le infrastrutture software critiche. ", Ha affermato Santiago Torres-Arias