Sigstore: Proyecto para mejorar la cadena de suministro del código abierto
Hoy, hablaremos de «Sigstore». Uno de muchos, de los proyectos libres y abiertos bajo la tutela de la Fundación Linux.
«Sigstore» es básicamente, un proyecto creado para proporcionar un servicio de bien público, sin ánimo de lucro, para mejorar la cadena de suministro de software de código abierto facilitando la adopción de la firma criptográfica de software respaldada por tecnologías de registro de transparencia.
«Sigstore», no es el único Proyecto de la Fundación Linux del cual hemos hablado en anteriores oportunidades. Otro de ellos ha sido el Automotive Grade Linux (Linux de Grado Automotriz), el cual describimos en su oportunidad de la siguiente forma:
“Linux de Grado (Calidad) Automotriz es un proyecto de colaboración de código abierto que está reuniendo a los fabricantes de automóviles, proveedores y empresas de tecnología para acelerar el desarrollo y la adopción de una pila de software totalmente abierto para el coche del futuro. Con Linux en su núcleo, AGL está desarrollando una plataforma abierta desde cero que puede servir como el estándar de facto de la industria para permitir el rápido desarrollo de nuevas características y tecnologías.” Fundación Linux: Presente en el Show de Electrónica de Consumo 2020
Más adelante, en futuras publicaciones abordaremos otros proyectos, pero para quienes deseen ir explorando por sí mismo algunos de ellos, pueden hacerlo a través del siguiente enlace: Proyectos de la Fundación Linux.
Sigstore: Un proyecto de la Fundación Linux
¿Qué es Sigstore?
Según el propio sitio web oficial de Sigstore, el mismo es:
“Un proyecto creado con el objetivo de proporcionar un servicio de bien público, sin ánimo de lucro, para mejorar la cadena de suministro de software de código abierto facilitando la adopción de la firma criptográfica de software, respaldada por tecnologías de registro de transparencia. Además, trata de capacitar a los desarrolladores de software para firmar de forma segura artefactos de software como archivos de lanzamiento, imágenes de contenedores, binarios, manifiestos de lista de materiales y más.”
Además, dicho proyecto busca asegurar que:
“Los materiales firmados se almacenen en un registro público a prueba de manipulaciones.”
¿Por qué es importante Sigstore?
Dicho proyecto, sus herramientas y miembros, busca evitar los «ataques a la cadena de suministro de software», tal como, el sucedido con SolarWinds y otros muy conocidos en estos últimos tiempos.
“Microsoft dijo que los hackers comprometieron el software de administración y monitoreo Orion de SolarWinds, lo que les permitió hacerse pasar por cualquier usuario y cuenta existente en la organización, incluidas las cuentas con muchos privilegios. Se dice que Rusia ha explotado capas de la cadena de suministro para acceder a los sistemas de las agencias gubernamentales.”
Entiéndase por «ataque a la cadena de suministro de software» al acto mediante el cual, un pirata informático (hacker) inserta, código malicioso en un software legítimo, para lograr extender el mismo por todas partes.
Por ende, proyectos libres/abiertos que sean gratuitos y fáciles de implementar, como «Sigstore» son cada vez más necesarios en nuestros días.
¿Cómo prevenir ataques a la cadena de suministros de software?
Aunque, ya en otras oportunidades, hemos ofrecido algunos útiles consejos de Seguridad Informática, prácticos para todos y en todo momento o situación, los siguientes consejos están directamente enfocados a mitigar lo más posible este tipo de ataques:
- Mantener un inventario de todas las herramientas de software propias y de terceros, tanto libres y abiertas, como privativas y cerradas, que se utilicen.
- Estar atento sobre las vulnerabilidades conocidas y futuras, de todas las aplicaciones y sistemas usados, para aplicar lo más pronto posible los parches que estén disponibles oficialmente.
- Mantenerse informado sobre brechas detectadas o ataques realizados, a proveedores de software propios y ajenos, para evitar sorpresas inesperadas por esas vías.
- Eliminar en el menor tiempo posible, aquellos sistemas, servicios y protocolos, que puedan ser redundantes (innecesarios) u obsoletos (sin uso).
- Planificar e implementar estrategias conjuntas y requisitos de seguridad con sus proveedores de software, para minimizar el riesgo informático proveniente de estos y sus propios procesos de seguridad.
- Ejecutar auditorías de código periódicas. Y mantener actualizadas las revisiones de seguridad y los procedimientos de control de cambios, requeridos para cada componente del código creado o usado.
- Realizar pruebas de penetración rutinarias para identificar peligros potenciales en su plataforma informática.
- Implemente medidas de seguridad informática, tales como, controles de acceso y doble factor de autenticación (2FA) para proteger los procesos de desarrollo de software.
- Ejecute software de seguridad con múltiples capas de protección. Sobre todo contra intrusiones, virus y rasomwares, tan comunes en estos días.
- Mantenga al día, su plan de copia de seguridad o de contingencia, para así mantener de forma segura los datos vitales de sus aplicaciones, sistemas y actividades (procesos), y poder recuperar cualquiera de los mismos, en el menor tiempo posible.
Más sobre Sigstore
Por último, los desarrolladores de «Sigstore» explican un poco el funcionamiento de dicho proyecto de la siguiente forma:
“Sigstore aprovecha las tecnologías existentes de x509 PKI y los registros de transparencia. Los usuarios generan pares de claves efímeras de corta duración utilizando las herramientas de cliente de sigstore. El servicio PKI de sigstore proporcionará entonces un certificado de firma generado tras una concesión exitosa de OpenID connect. Todos los certificados se registran en un registro de transparencia de certificados y los materiales de firma de software se envían a un registro de transparencia de firmas.”
“El uso de registros de transparencia introduce una raíz de confianza en la cuenta OpenID del usuario. Así podemos tener garantías de que el usuario reclamado estaba en control de la cuenta de un proveedor de servicios de identidad en el momento de la firma. Una vez completada la operación de firma, las claves pueden ser descartadas, eliminando cualquier necesidad de gestión adicional de claves o necesidad de revocación o rotación.”
Para más información sobre «Sigstore» puede visitarse su sitio web oficial en GitHub y su Comunidad (Grupo) público sobre Google.
Resumen
Esperamos que esta “pequeña y útil publicación” sobre «Sigstore», un interesante y útil proyecto de la Fundación Linux, que es un servicio de transparencia y firma de software de bien público y sin ánimo de lucro, creado para mejorar la cadena de suministro de software de código abierto; sea de mucho interés y utilidad, para toda la «Comunidad de Software Libre y Código Abierto» y de gran contribución a la difusión del maravilloso, gigantesco y creciente ecosistema de aplicaciones de «GNU/Linux».
Por ahora, si te ha gustado esta publicación, no dejes de compartirla con otros, en tus sitios web, canales, grupos o comunidades favoritas de redes sociales o sistemas de mensajería, preferiblemente libres, abiertas y/o más seguras como Telegram, Signal, Mastodon u otra del Fediverso, preferiblemente.
Y recuerda visitar nuestra página de inicio en «DesdeLinux» para explorar más noticias, además de unirte a nuestro canal oficial de Telegram de DesdeLinux. Mientras que, para mayor información, puedes visitar cualquier Biblioteca en línea como OpenLibra y JedIT, para acceder y leer libros digitales (PDFs) sobre este tema u otros.