11 mar. 2021

Sigstore: el Let's Encrypt para firmar código

Linux Foundation, Red Hat, Google y Purdue han publicado un proyecto libre llamado Sigstore, una herramienta Open Source para firmar código y verificar la integridad de la cadena de suministro.

Uno de los problemas de seguridad fundamentales con el código abierto es que es difícil saber de dónde proviene el software o cómo se construyó, lo que lo hace susceptible a los ataques de la cadena de suministro. Algunos ejemplos recientes de esto incluyen el ataque de confusión de dependencia y el paquete malicioso RubyGems para robar criptomonedas.

Sigstore es un nuevo proyecto de la Fundación Linux que tiene como objetivo resolver este problema mejorando la integridad y verificación de la cadena de suministro de software.

Instalar la mayoría del software de código abierto hoy en día equivale a tomar una memoria USB aleatoria de la acera y conectarla a su máquina. Para abordar esto, debemos hacer posible verificar la procedencia de todo el software, incluidos los paquetes de código abierto. Google menciona la importancia de esto en su publicación reciente Know, Prevent, Fix.

La misión de Sigstore es facilitar que los desarrolladores firmen sus aplicaciones y que los usuarios los verifiquen. Puede pensar en ello como un equivalente de Let's Encrypt para la firma de código. Al igual que Let’s Encrypt proporciona certificados gratuitos y herramientas de automatización para HTTPS, Sigstore proporciona certificados y herramientas gratuitos para automatizar y verificar firmas de código fuente. Sigstore también tiene el beneficio adicional de estar respaldado por registros de transparencia, lo que significa que todos los certificados y atestaciones son globalmente visibles, detectables y auditables.

La administración de claves a largo plazo es difícil, por lo que se ha adoptado un enfoque único para emitir certificados de corta duración basados ​​en las subvenciones de OpenID Connect. Sigstore también almacena toda la actividad en registros de transparencia, respaldados por Google Trillian para que se pueda detectar más fácilmente los compromisos. La distribución de claves es notoriamente difícil, por lo que se ha eliminado su necesidad mediante la creación de una CA raíz especial, solo para la firma de código, que estará disponible de forma gratuita.

Ya se ha publicado un prototipo funcional y una prueba de conceptos para recibir comentarios:

Luke Hinds, uno de los desarrolladores principales de sigstore y jefe de ingeniería de seguridad de Red Hat, dice: "Estoy muy entusiasmado con sigstore y lo que esto significa para mejorar la seguridad de las cadenas de suministro de software. Sigstore es un excelente ejemplo de una comunidad de código abierto juntos para colaborar y desarrollar una solución que facilite la adopción de firmas de software de manera transparente".

En menos de una generación, el código abierto ha pasado de ser una comunidad de nicho a convertirse en un ecosistema crítico que impulsa nuestra economía global y las instituciones de la sociedad y la cultura. Debemos garantizar la seguridad de este ecosistema sin socavar la colaboración abierta y descentralizada que lo hace funcionar. Al construir sobre una composición inteligente de tecnologías existentes que respetan la privacidad y trabajan a escala, Sigstore es la infraestructura central que necesitamos para resolver este problema fundamental. Es un proyecto ambicioso con potencial de impacto global.

Los próximos planes para sigstore incluyen: fortalecer el sistema, agregar soporte para otros proveedores de OpenID Connect, actualizar la documentación y responder a los comentarios de la comunidad.

Fuente: Google

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!