En un esfuerzo por asegurar la cadena de suministro de software libre, la Fundación Linux (la organización sin fines de lucro que fomenta la innovación a través del código abierto) se ha asociado con Red Hat, Google y la Universidad Purdue para lanzar un nuevo proyecto para ayudar a los desarrolladores a adoptar fácilmente la firma criptográfica en el software.
Este nuevo proyecto es respaldado por tecnologías de transparencia de registros, ya que la tasa de adopción industrial de software de código abierto en constante aumento, el proyecto, Sigstore, tiene como objetivo evitar que un ataque a un repositorio de software público inyecte código corrupto en la cadena de suministro.
Sigstore permitirá a los desarrolladores de software firmar de forma segura artefactos de software como archivos de versión, imágenes de contenedor y binarios. Se menciona que los elementos firmados se almacenan en un diario público a prueba de manipulaciones.
SigStore busca que los desarrolladores puedan comprender y confirmar el origen y la autenticidad del software que se basa en un conjunto de enfoques y formatos de datos a menudo dispares. Las soluciones existentes se basan a menudo en «resúmenes» (hash o resultados de una función hash) almacenados en sistemas inseguros, que pueden estar corrompidos y dar lugar a diversos ataques, como el intercambio de hash o función hash, ataques dirigidos contra usuarios.
El uso del servicio será gratuito para todos los desarrolladores y proveedores de software, y la comunidad SigStore desarrollará el código y las herramientas operativas de sigstore. Red Hat, Google y Purdue University se encuentran entre los miembros fundadores del proyecto.
“Sigstore permite que todas las comunidades de código abierto firmen su software y combina procedencia, integridad y capacidad de descubrimiento para crear una cadena de suministro de software transparente y verificable”, dijo Luke Hinds, director de seguridad de la oficina de CTO de Red Hat. «Al albergar esta colaboración en la Fundación Linux, podemos acelerar nuestro trabajo en sigstore y respaldar la adopción y el impacto continuos del desarrollo y el software de código abierto».
“Asegurar una implementación de software debe comenzar con asegurarnos de que estamos ejecutando el software que creemos que tenemos. sigstore representa una gran oportunidad para brindar más confianza y transparencia a la cadena de suministro de software de código abierto ”, dijo Josh Aas,
Argumentando que la cadena de suministro de software moderno está expuesta a múltiples riesgos, el proyecto dice que las herramientas existentes, que involucran a personas que se reúnen en persona para firmar claves, y que han funcionado bien durante tanto tiempo, ya no se pueden lograr en el entorno actual con áreas geográficamente dispersas.
Además, de que se menciona que existen muy pocos proyectos de código abierto que firman criptográficamente artefactos de versión de software. Esto se debe en gran parte a los desafíos que enfrentan los mantenedores de software en la administración de claves, compromisos de claves, revocación y distribución de claves públicas y artefactos hash. Esto significa que los usuarios deben averiguar en qué claves confiar y aprender los pasos necesarios para validar la firma.
“Sigstore tiene como objetivo hacer que todas las versiones de software de código abierto sean verificables y facilitar su verificación por parte de los usuarios. Ojalá podamos hacer esto tan fácil como salir de vim ”, dijo Dan Lorenc, ingeniero de software del equipo de seguridad de software de código abierto de Google.
Otro problema es cómo se distribuyen los hash y las claves públicas: a menudo se almacenan en sitios web potencialmente pirateados o en un archivo README ubicado en un repositorio público de git.
SigStore busca abordar estos problemas mediante el uso de claves efímeras de corta duración con una raíz de confianza extraída de un registro de transparencia público abierto y verificable. El nuevo servicio ayudará a los desarrolladores y usuarios a comprender y confirmar el origen y la autenticidad del software, con una sobrecarga mínima.
“Estoy muy entusiasmado con un sistema como sigstore. El ecosistema de software necesita urgentemente un sistema de este tipo para informar sobre el estado de la cadena de suministro. Creo que con sigstore, que responde a todas las preguntas sobre las fuentes y la propiedad del software, podemos comenzar a hacer preguntas sobre los destinos del software, los consumidores, el cumplimiento (legal y de otro tipo), para identificar redes criminales y asegurar las infraestructuras de software críticas.”.
Fuente:https://blog.desdelinux.net/