Sigstore, un serviciu gratuit pentru verificarea originii și autenticității software-ului

Într - un efort de a asigura lanțul de aprovizionare cu software gratuit, Fundația Linux (organizația non-profit care promovează inovarea prin open source) a lansat un parteneriat cu Red Hat, Google și Universitatea Purdue pentru lansare un nou proiect pentru a ajuta dezvoltatorii să adopte cu ușurință semnătura criptografică în software.

acest proiect nou este susținut de tehnologii de transparență record, deoarece rata de adoptare industrială în continuă creștere a software-ului open source, proiectul, Sigstore își propune să împiedice un atac asupra unui depozit public de software să injecteze cod corupt în lanțul de aprovizionare.

sigstore va permite dezvoltatorilor de software să semneze în siguranță artefacte software, cum ar fi fișiere de versiuni, imagini de containere și binare. Se menționează faptul că articolele semnate sunt stocate într-un jurnal public care nu este falsificat.

SigStore urmărește să permită dezvoltatorilor să înțeleagă și să confirme originea și autenticitatea software-ului care se bazează pe un set adesea diferit de abordări și formate de date. Soluțiile existente se bazează adesea pe „rezumate” (hash sau rezultate ale unei funcții hash) stocate pe sisteme nesigure, care pot fi corupte și pot duce la diverse atacuri, cum ar fi schimbul de hash sau funcția hash, atacuri îndreptate împotriva utilizatorilor.

Utilizarea serviciului va fi gratuit pentru toți dezvoltatorii și furnizorii de software, iar comunitatea SigStore va dezvolta codul și instrumentele operaționale pentru sigstore. Red Hat, Google și Universitatea Purdue se numără printre membrii fondatori ai proiectului.

„Sigstore permite tuturor comunităților open source să își semneze software-ul și combină proveniența, integritatea și descoperibilitatea pentru a crea un lanț de aprovizionare software transparent și verificabil”, a declarat Luke Hinds, ofițer șef de securitate, biroul CTO Red Hat. „Găzduind această colaborare la Linux Foundation, ne putem accelera activitatea în domeniul sigstore și putem susține adoptarea și impactul continuu al software-ului open source și al dezvoltării.”

„Asigurarea unei implementări software ar trebui să înceapă prin asigurarea faptului că rulăm software-ul pe care credem că îl avem. sigstore reprezintă o mare oportunitate de a aduce mai multă încredere și transparență în lanțul de aprovizionare cu software open source ”, a spus Josh Aas,

Susținând că lanțul modern de aprovizionare cu software este expus la riscuri multiple, proiectul spune că instrumentele existente, care implică oameni care se întâlnesc personal pentru a semna chei și care au funcționat bine de atât de mult timp, nu mai poate fi atins în mediul actual cu zone dispersate geografic.

De asemenea, se menționează că există foarte puține proiecte open source care semnează criptografic artefacte ale versiunii software. Acest lucru se datorează în mare parte provocărilor cu care se confruntă întreținătorii de software în gestionarea cheilor, compromisurilor cheie, revocării și distribuției cheilor publice și a artefactelor hash. Aceasta înseamnă că utilizatorii trebuie să-și dea seama în ce chei să aibă încredere și să învețe pașii necesari pentru validarea semnăturii.

„Sigstore își propune să verifice toate versiunile de software open source și să faciliteze verificarea de către utilizatori. Sperăm că putem face acest lucru la fel de ușor ca ieșirea din vim ", a declarat Dan Lorenc, inginer software în echipa de securitate a software-ului open source Google. 

O altă problemă este modul în care sunt distribuite hashurile și cheile publice - acestea sunt adesea stocate pe site-uri web potențial sparte sau într-un fișier README situat într-un depozit public git.

SigStore caută să soluționeze aceste probleme utilizând chei efemere de scurtă durată, cu o rădăcină de încredere extrasă dintr-un registru de transparență public deschis și verificabil. Noul serviciu îi va ajuta pe dezvoltatori și utilizatori să înțeleagă și să confirme originea și autenticitatea software-ului, cu o cheltuială minimă.

„Sunt foarte încântat de un sistem precum sigstore. Ecosistemul software are nevoie urgentă de un astfel de sistem pentru a raporta starea lanțului de aprovizionare. Cred că cu sigstore, care răspunde la toate întrebările despre sursele și proprietatea software-ului, putem începe să punem întrebări despre destinațiile software-ului, consumatorii, conformitatea (legală și nu), pentru a identifica rețelele criminale și a securiza infrastructurile software critice. ”, A spus Santiago Torres-Arias

 


Conținutul articolului respectă principiile noastre de etică editorială. Pentru a raporta o eroare, faceți clic pe aici.

Fii primul care comenteaza

Lasă comentariul tău

Adresa ta de email nu va fi publicată.

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.

bool (adevărat)