Sigstore: Projeto para melhorar a cadeia de suprimentos de código aberto

Sigstore: Projeto para melhorar a cadeia de suprimentos de código aberto

Hoje, vamos falar sobre "Sigstore". Um de muitos, do projetos livres e abertos sob a tutela do Fundação Linux.

"Sigstore" É basicamente um projeto criado para prestar um serviço de bem público, sem fins lucrativos, a melhorar a cadeia de abastecimento de software de código aberto facilitando a adoção de software de assinatura criptográfica apoiada em tecnologias de registro de transparência.

"Sigstore", Não é o único Projeto Linux Foundation sobre o qual falamos em ocasiões anteriores. Outro deles foi Linux grau automotivo, que descrevemos na época da seguinte forma:

"Automotive Grade (Quality) Linux é um projeto colaborativo de código aberto que reúne montadoras, fornecedores e empresas de tecnologia para acelerar o desenvolvimento e a adoção de uma pilha de software totalmente aberta para o carro do futuro. Com o Linux em seu núcleo, AGL está desenvolvendo uma plataforma aberta desde o início que pode servir como o padrão da indústria de fato para permitir o rápido desenvolvimento de novos recursos e tecnologias." Linux Foundation: Presente no Consumer Electronics Show 2020

Artigo relacionado:

Linux Foundation: Presente no Consumer Electronics Show 2020

Artigo relacionado:

Linux chega à estrada graças ao Automotive Grade Linux

Posteriormente, em publicações futuras, abordaremos outros projetos, mas para aqueles que desejam explorar alguns deles por conta própria, podem fazê-lo através do seguinte link: Projetos da Linux Foundation.

Sigstore: Um projeto da Linux Foundation

O que é Sigstore?

Segundo ele mesmo Site oficial da Sigstore, o mesmo é:

"Projeto criado com o objetivo de prestar um serviço de bem público sem fins lucrativos para melhorar a cadeia de suprimentos de software livre, facilitando a adoção da assinatura criptográfica do software, apoiada em tecnologias de registro de transparência. Além disso, ele tenta treinar desenvolvedores de software para assinar artefatos de software com segurança, como arquivos de lançamento, imagens de contêiner, binários, manifestos de lista de materiais e muito mais."

Além disso, este projeto visa garantir que:

"Os materiais assinados são armazenados em um registro público à prova de violação."

Por que o Sigstore é importante?

Este projeto, suas ferramentas e membros, visa evitar «ataques à cadeia de suprimentos de software », como, o que aconteceu com SolarWinds e outros bem conhecidos nos últimos tempos.

"A Microsoft disse que os hackers comprometeram o software de monitoramento e gerenciamento Orion da SolarWinds, permitindo-lhes personificar qualquer usuário e conta existente na organização, incluindo contas altamente privilegiadas. Diz-se que a Rússia explorou camadas da cadeia de abastecimento para acessar os sistemas das agências governamentais."

Artigo relacionado:

O hack da SolarWinds poderia ser muito pior do que o esperado

Ser compreendido por «ataque à cadeia de suprimentos de software » ao ato pelo qual, Um hacker insere um código malicioso em software legítimo para espalhá-lo em todos os lugares.

Portanto, projetos gratuitos / abertos que são gratuitos e fáceis de implementar, como "Sigstore" eles são cada vez mais necessários em nossos dias.

Como prevenir ataques à cadeia de suprimentos de software?

Embora, em outras ocasiões, tenhamos oferecido alguns conselhos de segurança da informação úteis, práticos para todos e em qualquer momento ou situação, as dicas a seguir estão diretamente focadas em mitigar este tipo de ataque, tanto quanto possível:

Artigo relacionado:

Dicas de segurança do computador para todos, a qualquer hora e em qualquer lugar

1. Mantenha um inventário de todas as ferramentas de software próprias e de terceiros, gratuitas e abertas, proprietárias e fechadas, que são usadas.
2. Esteja atento às vulnerabilidades conhecidas e futuras, de todos os aplicativos e sistemas utilizados, para aplicar o mais rápido possível os patches que estão oficialmente disponíveis.
3. Mantenha-se informado sobre as violações detectadas ou ataques realizados, para próprios e terceiros fornecedores de software, para evitar surpresas inesperadas dessas formas.
4. Elimine no menor tempo possível, aqueles sistemas, serviços e protocolos que podem ser redundantes (desnecessários) ou obsoletos (não utilizados).
5. Planeje e implemente estratégias conjuntas e requisitos de segurança com seus fornecedores de software, para minimizar o risco de TI deles e de seus próprios processos de segurança.
6. Execute auditorias de código regulares. E mantenha as revisões de segurança e os procedimentos de controle de alterações atualizados, necessários para cada componente do código criado ou usado.
7. Realize testes de penetração de rotina para identificar perigos potenciais em sua plataforma de computação.
8. Implementar medidas de segurança de TI, como controles de acesso e autenticação de fator duplo (2FA) para proteger os processos de desenvolvimento de software.
9. Execute software de segurança com várias camadas de proteção. Principalmente contra intrusões, vírus e rasomwares, tão comuns nos dias de hoje.
10. Mantenha seu plano de backup ou contingência atualizado, a fim de manter com segurança os dados vitais de suas aplicações, sistemas e atividades (processos), e poder recuperar qualquer um deles, no menor tempo possível.
    

Mais sobre Loja de assinaturas

Finalmente, os desenvolvedores de "Sigstore" eles explicam um pouco o funcionamento desse projeto da seguinte forma:

"Loja de assinaturas aproveita as tecnologias x509 PKI existentes e os registros de transparência. Os usuários geram pares de chaves efêmeros de curta duração usando as ferramentas de cliente sigstore. O serviço de PKI sigstore fornecerá um certificado de assinatura gerado após uma concessão de conexão OpenID bem-sucedida. Todos os certificados são registrados em um registro de transparência de certificado e os materiais de assinatura de software são submetidos a um registro de transparência de assinatura."

"O uso de registros de transparência introduz uma raiz de confiança na conta OpenID do usuário. Assim, podemos ter garantias de que o usuário reivindicado estava no controle da conta de um provedor de serviços de identidade no momento da assinatura. Assim que a operação de assinatura for concluída, as chaves podem ser descartadas, eliminando qualquer necessidade de gerenciamento adicional de chaves ou a necessidade de revogação ou rotação."

Para mais informações sobre "Sigstore" você pode visitar o seu site oficial no GitHub e Comunidade (Grupo) pública em Google.

Resumo

Nós esperamos isso "postinho útil" em  «Sigstore», um projeto interessante e útil do Fundação Linux, que e um serviço de transparência e assinatura de software bem público e sem fins lucrativos, criado para melhorar a cadeia de abastecimento software livre; é de grande interesse e utilidade, para todo o «Comunidad de Software Libre y Código Abierto» e de grande contribuição para a difusão do maravilhoso, gigantesco e crescente ecossistema de aplicações de «GNU/Linux».

Por enquanto, se você gostou disso publicación, Não pare Compartilhe com outras pessoas, nos seus sites, canais, grupos ou comunidades de redes sociais ou sistemas de mensagens preferidos, de preferência gratuitos, abertos e / ou mais seguros como Telegram, Signal, Mastodonte ou outro de Fediverse, preferencialmente.

E lembre-se de visitar nossa página inicial em «DesdeLinux» para explorar mais novidades, bem como aderir ao nosso canal oficial de Telegrama de DesdeLinux. Embora, para obter mais informações, você pode visitar qualquer Biblioteca online como OpenLibra y jedit, para acessar e ler livros digitais (PDFs) sobre este assunto ou outros.