Em um esforço para proteger a cadeia de suprimentos do software livre, o Fundação Linux (a organização sem fins lucrativos que promove a inovação por meio do código aberto) fez parceria com a Red Hat, Google e Purdue University para lançar um novo projeto para ajudar os desenvolvedores a adotar facilmente a assinatura criptográfica em software.
Esta novo projeto é apoiado por tecnologias de transparência de registro, como a taxa cada vez maior de adoção industrial de software de código aberto, o projeto O Sigstore visa evitar que um ataque a um repositório de software público injete código corrompido na cadeia de suprimentos.
Loja de assinaturas permitirá que os desenvolvedores de software assinem com segurança artefatos de software, como arquivos de versão, imagens de contêiner e binários. É mencionado que os itens assinados são armazenados em um jornal público à prova de falsificação.
O SigStore busca permitir que os desenvolvedores entendam e confirmem a origem e a autenticidade do software que se baseia em um conjunto frequentemente díspar de abordagens e formatos de dados. As soluções existentes geralmente são baseadas em "resumos" (hash ou resultados de uma função hash) armazenados em sistemas inseguros, que podem ser corrompidos e levar a vários ataques, como troca de hash ou função de hash, ataques direcionados contra usuários.
O uso do serviço será gratuito para todos os desenvolvedores e fornecedores de software, e a comunidade SigStore desenvolverá o código e as ferramentas operacionais para a sigstore. Red Hat, Google e Purdue University estão entre os membros fundadores do projeto.
"A Sigstore permite que todas as comunidades de código aberto assinem seu software e combina procedência, integridade e capacidade de descoberta para criar uma cadeia de suprimentos de software transparente e verificável", disse Luke Hinds, diretor de segurança do escritório Red Hat CTO. "Ao hospedar esta colaboração na Linux Foundation, podemos acelerar nosso trabalho na sigstore e apoiar a adoção contínua e o impacto do software de código aberto e do desenvolvimento."
“A proteção de uma implementação de software deve começar com a certeza de que estamos executando o software que pensamos ter. sigstore representa uma grande oportunidade de trazer mais confiança e transparência para a cadeia de suprimentos de software de código aberto ”, disse Josh Aas,
Argumentando que a cadeia de suprimentos de software moderna está exposta a vários riscos, o projeto diz que as ferramentas existentes, que envolvem pessoas se encontrando pessoalmente para assinar as chaves, e que funcionaram bem por tanto tempo, não pode mais ser alcançado no ambiente de hoje com áreas geograficamente dispersas.
Além disso, é mencionado que existem muito poucos projetos de código aberto que assinam criptograficamente artefatos de versão de software. Isso se deve em grande parte aos desafios que os mantenedores de software enfrentam no gerenciamento de chaves, comprometimentos de chaves, revogação e distribuição de chaves públicas e artefatos hash. Isso significa que os usuários devem descobrir em quais chaves confiar e aprender as etapas necessárias para validar a assinatura.
“A Sigstore visa tornar todas as versões de software de código aberto verificáveis e facilitar a verificação pelos usuários. Espero que possamos tornar isso tão fácil quanto sair do vim ”, disse Dan Lorenc, engenheiro de software da equipe de segurança de software de código aberto do Google.
Outro problema é como os hashes e as chaves públicas são distribuídos - geralmente são armazenados em sites potencialmente hackeados ou em um arquivo README localizado em um repositório git público.
O SigStore procura resolver esses problemas usando chaves efêmeras de curta duração com uma raiz de confiança extraída de um registro de transparência pública aberto e verificável. O novo serviço ajudará desenvolvedores e usuários a entender e confirmar a origem e autenticidade do software, com sobrecarga mínima.
“Estou muito animado com um sistema como o sigstore. O ecossistema de software precisa urgentemente de tal sistema para relatar o status da cadeia de suprimentos. Acho que com a sigstore, que responde a todas as perguntas sobre fontes e propriedade de software, podemos começar a fazer perguntas sobre destinos de software, consumidores, conformidade (legal e outros), para identificar redes criminosas e proteger infraestruturas de software críticas. ”, Disse Santiago Torres-Arias.