En un esfuerzo por asegurar la cadena de suministro de software libre, la FundaciĆ³n Linux (la organizaciĆ³n sin fines de lucro que fomenta la innovaciĆ³n a travĆ©s del cĆ³digo abierto) se ha asociado con Red Hat, Google y la Universidad Purdue para lanzar un nuevo proyecto para ayudar a los desarrolladores a adoptar fĆ”cilmente la firma criptogrĆ”fica en el software.
Este nuevo proyecto es respaldado por tecnologĆas de transparencia de registros, ya que la tasa de adopciĆ³n industrial de software de cĆ³digo abierto en constante aumento, el proyecto, Sigstore, tiene como objetivo evitar que un ataque a un repositorio de software pĆŗblico inyecte cĆ³digo corrupto en la cadena de suministro.
Sigstore permitirĆ” a los desarrolladores de software firmar de forma segura artefactos de software como archivos de versiĆ³n, imĆ”genes de contenedor y binarios. Se menciona que los elementos firmados se almacenan en un diario pĆŗblico a prueba de manipulaciones.
SigStore busca que los desarrolladores puedan comprender y confirmar el origen y la autenticidad del software que se basa en un conjunto de enfoques y formatos de datos a menudo dispares. Las soluciones existentes se basan a menudo en Ā«resĆŗmenesĀ» (hash o resultados de una funciĆ³n hash) almacenados en sistemas inseguros, que pueden estar corrompidos y dar lugar a diversos ataques, como el intercambio de hash o funciĆ³n hash, ataques dirigidos contra usuarios.
El uso del servicio serĆ” gratuito para todos los desarrolladores y proveedores de software, y la comunidad SigStore desarrollarĆ” el cĆ³digo y las herramientas operativas de sigstore. Red Hat, Google y Purdue University se encuentran entre los miembros fundadores del proyecto.
āSigstore permite que todas las comunidades de cĆ³digo abierto firmen su software y combina procedencia, integridad y capacidad de descubrimiento para crear una cadena de suministro de software transparente y verificableā, dijo Luke Hinds, director de seguridad de la oficina de CTO de Red Hat. Ā«Al albergar esta colaboraciĆ³n en la FundaciĆ³n Linux, podemos acelerar nuestro trabajo en sigstore y respaldar la adopciĆ³n y el impacto continuos del desarrollo y el software de cĆ³digo abiertoĀ».
āAsegurar una implementaciĆ³n de software debe comenzar con asegurarnos de que estamos ejecutando el software que creemos que tenemos. sigstore representa una gran oportunidad para brindar mĆ”s confianza y transparencia a la cadena de suministro de software de cĆ³digo abierto ā, dijo Josh Aas,
Argumentando que la cadena de suministro de software moderno estĆ” expuesta a mĆŗltiples riesgos, el proyecto dice que las herramientas existentes, que involucran a personas que se reĆŗnen en persona para firmar claves, y que han funcionado bien durante tanto tiempo, ya no se pueden lograr en el entorno actual con Ć”reas geogrĆ”ficamente dispersas.
AdemĆ”s, de que se menciona que existen muy pocos proyectos de cĆ³digo abierto que firman criptogrĆ”ficamente artefactos de versiĆ³n de software. Esto se debe en gran parte a los desafĆos que enfrentan los mantenedores de software en la administraciĆ³n de claves, compromisos de claves, revocaciĆ³n y distribuciĆ³n de claves pĆŗblicas y artefactos hash. Esto significa que los usuarios deben averiguar en quĆ© claves confiar y aprender los pasos necesarios para validar la firma.
āSigstore tiene como objetivo hacer que todas las versiones de software de cĆ³digo abierto sean verificables y facilitar su verificaciĆ³n por parte de los usuarios. OjalĆ” podamos hacer esto tan fĆ”cil como salir de vim ā, dijo Dan Lorenc, ingeniero de software del equipo de seguridad de software de cĆ³digo abierto de Google.Ā
Otro problema es cĆ³mo se distribuyen los hash y las claves pĆŗblicas: a menudo se almacenan en sitios web potencialmente pirateados o en un archivo README ubicado en un repositorio pĆŗblico de git.
SigStore busca abordar estos problemas mediante el uso de claves efĆmeras de corta duraciĆ³n con una raĆz de confianza extraĆda de un registro de transparencia pĆŗblico abierto y verificable. El nuevo servicio ayudarĆ” a los desarrolladores y usuarios a comprender y confirmar el origen y la autenticidad del software, con una sobrecarga mĆnima.
āEstoy muy entusiasmado con un sistema como sigstore. El ecosistema de software necesita urgentemente un sistema de este tipo para informar sobre el estado de la cadena de suministro. Creo que con sigstore, que responde a todas las preguntas sobre las fuentes y la propiedad del software, podemos comenzar a hacer preguntas sobre los destinos del software, los consumidores, el cumplimiento (legal y de otro tipo), para identificar redes criminales y asegurar las infraestructuras de software crĆticas.ā, dijo Santiago Torres-Arias