The Linux Foundation lança sigstore, um novo serviço de assinatura de software
A Linux Foundation está lançando seu novo projeto sigstore para fornecer melhor segurança e proteção para todos os aspectos da cadeia de suprimentos de software. O novo projeto permitirá que os desenvolvedores assinem aspectos específicos de seu processo de desenvolvimento, garantindo que os arquivos e outros ativos tenham criptografia forte e à prova de violação.
sigstore para proteger origens de software
O sigstore da Linux Foundation é um serviço de assinatura de software público de uso livre e sem fins lucrativos que usará a tecnologia-chave existente para proteger melhor as cadeias de fornecimento de desenvolvimento de software.
Ele também usará tecnologias de registro transparentes para tornar mais fácil rastrear a "proveniência, integridade e capacidade de descoberta" da cadeia de suprimentos de software, tornando mais fácil para os proprietários e contribuintes do projeto confiar e monitorar as mudanças.
Resumindo, a sigstore pode fornecer aos desenvolvedores de software uma opção mais fácil de usar e gratuita para proteger os arquivos importantes associados a um projeto. Os desenvolvedores podem usar sigstore para assinar arquivos de lançamento, binários, manifestos, documentos, logs e muito mais.
Depois de assinados, os detalhes são adicionados a um "registro público à prova de violação" conhecido como rekor , que a Linux Foundation também desenvolveu.
Os usuários são suscetíveis a vários ataques direcionados, juntamente com o comprometimento de contas e chaves criptográficas. As chaves, em particular, são um desafio para os mantenedores de software gerenciarem. Os projetos geralmente precisam manter uma lista das chaves atuais em uso e gerenciar as chaves de indivíduos que não contribuem mais para um projeto.
Santiago Torres-Arias, professor assistente de Engenharia Elétrica e de Computação da Universidade de Purdue, está "muito animado com as perspectivas de um sistema como o sigstore".
O ecossistema de software precisa urgentemente de algo parecido para relatar o estado da cadeia de suprimentos. Imagino que, com a sigstore respondendo a todas as perguntas sobre fontes e propriedade de software, podemos começar a fazer perguntas sobre destinos de software, consumidores, conformidade (legal e outros), para identificar redes criminosas e proteger a infraestrutura de software crítica
Protegendo Desenvolvedores de Software Vulneráveis
O projeto sigstore da Linux Foundation está chamando a atenção para uma área vulnerável para desenvolvedores de software. Atualmente, poucos projetos assinam ativamente artefatos de software. É demorado, requer gerenciamento extra e geralmente é melhor gastar o tempo em outro lugar – isso, em vez de lidar com mecanismos complexos de gerenciamento de chaves.
Atualmente, muitos desenvolvedores optam pela opção mais fácil possível, ocultando chaves de criptografia críticas em arquivos leia-me ou outros locais vulneráveis. Usar arquivos potencialmente acessíveis e sem proteção é uma receita para o desastre, como visto com as várias violações do GitHub e do Bitbucket ao longo dos anos.
sigstore, então, deve tornar pelo menos um pouco mais fácil o gerenciamento de chaves de criptografia para projetos de software, liberando os desenvolvedores para continuar com os bits de trabalho que realmente gostam.