La Fundación Linux lanza sigstore, un nuevo servicio de firma de software
La Fundación Linux está lanzando su nuevo proyecto sigstore para brindar una mejor seguridad y protección para todos los aspectos de la cadena de suministro de software. El nuevo proyecto permitirá a los desarrolladores firmar aspectos específicos de su proceso de desarrollo, asegurando que los archivos y otros activos tengan un cifrado sólido y a prueba de manipulaciones.
sigstore para proteger los orígenes del software
Sigstore de la Fundación Linux es un servicio público de firma de software de uso gratuito y sin fines de lucro que utilizará la tecnología clave existente para proteger mejor las cadenas de suministro de desarrollo de software.
También utilizará tecnologías de registro transparentes para facilitar el seguimiento de la "procedencia, integridad y capacidad de descubrimiento" de la cadena de suministro de software, lo que facilitará que tanto los propietarios del proyecto como los contribuyentes confíen y controlen los cambios.
En resumen, sigstore podría proporcionar a los desarrolladores de software una opción más fácil de usar y gratuita para proteger los archivos importantes asociados con un proyecto. Los desarrolladores pueden usar sigstore para firmar archivos de lanzamiento, binarios, manifiestos, documentos, registros y más.
Una vez firmado, los detalles se agregan a un "registro público a prueba de manipulaciones" conocido como rekor , que la Fundación Linux también ha desarrollado.
Los usuarios son susceptibles a varios ataques dirigidos, junto con el compromiso de la cuenta y la clave criptográfica. Las claves en particular son un desafío para la gestión de los mantenedores de software. Los proyectos a menudo tienen que mantener una lista de las claves actuales en uso y administrar las claves de las personas que ya no contribuyen a un proyecto.
Santiago Torres-Arias, profesor asistente de Ingeniería Eléctrica e Informática de la Universidad de Purdue, está "muy entusiasmado con las perspectivas de un sistema como sigstore".
El ecosistema de software necesita urgentemente algo parecido para informar el estado de la cadena de suministro. Imagino que, con sigstore respondiendo todas las preguntas sobre las fuentes y la propiedad del software, podemos comenzar a hacer las preguntas sobre los destinos del software, los consumidores, el cumplimiento (legal y de otro tipo), para identificar redes criminales y asegurar la infraestructura crítica del software.
Protección de desarrolladores de software vulnerables
El proyecto sigstore de la Fundación Linux está llamando la atención sobre un área vulnerable para los desarrolladores de software. Actualmente, muy pocos proyectos firman activamente artefactos de software. Consume mucho tiempo, requiere administración adicional y, a menudo, es mejor invertir el tiempo en otro lugar, en lugar de lidiar con complejos mecanismos de administración de claves.
Actualmente, muchos desarrolladores optan por la opción más fácil posible, ocultando claves de cifrado críticas en archivos Léame u otros lugares vulnerables. El uso de archivos potencialmente accesibles que carecen de protección es una receta para el desastre, como se ha visto con las diversas infracciones de GitHub y Bitbucket a lo largo de los años.
sigstore, entonces, debería facilitar al menos un poco la administración de claves de cifrado para proyectos de software, liberando a los desarrolladores para que continúen con el trabajo que realmente disfrutan.