La Linux Foundation lancia sigstore, un nuovo servizio di firma del software

La Linux Foundation sta lanciando il suo nuovo sigstore progetto per fornire una migliore sicurezza e protezione per tutti gli aspetti della catena di fornitura del software. Il nuovo progetto consentirà agli sviluppatori di firmare aspetti specifici del loro processo di sviluppo, assicurando che i file e altre risorse abbiano una crittografia forte ea prova di manomissione.

sigstore per proteggere le origini del software

La Linux Foundation's sigstore è un servizio di firma di software pubblico gratuito e senza scopo di lucro che utilizzerà la tecnologia chiave esistente per proteggere meglio le catene di approvvigionamento dello sviluppo del software.

Utilizzerà anche tecnologie di registrazione trasparenti per rendere più facile rintracciare "la provenienza, l'integrità e rilevabilità "della catena di fornitura del software, rendendo più facile sia i proprietari del progetto che i contributori fidarsi e monitorare i cambiamenti.

In breve, sigstore potrebbe fornire agli sviluppatori di software un'opzione gratuita e più facile da usare per proteggere i file importanti associati a un progetto. Gli sviluppatori possono utilizzare sigstore per firmare file di rilascio, file binari, manifesti, documenti, log e altro ancora.

Una volta firmati, i dettagli vengono aggiunti a un "registro pubblico a prova di manomissione" noto come rekor, sviluppato anche dalla Linux Foundation.

Gli utenti sono suscettibili a vari attacchi mirati, insieme alla compromissione dell'account e della chiave crittografica. Le chiavi in ​​particolare sono una sfida da gestire per i manutentori di software. I progetti devono spesso mantenere un elenco delle chiavi correnti in uso e gestire le chiavi delle persone che non contribuiscono più a un progetto.

Santiago Torres-Arias, professore assistente di ingegneria elettrica e informatica, Università di Purdue, è "molto entusiasta delle prospettive di un sistema come sigstore".

L'ecosistema del software ha un disperato bisogno di qualcosa di simile per segnalare lo stato della catena di approvvigionamento. Immagino che, con sigstore che risponde a tutte le domande sulle fonti e sulla proprietà del software, possiamo iniziare a porre le domande riguardanti destinazioni del software, consumatori, conformità (legale e non), per identificare le reti criminali e proteggere l'infrastruttura software critica

Relazionato: Come configurare SSL sul tuo sito in modo rapido e gratuito con Let's Encrypt

Protezione degli sviluppatori di software vulnerabili

Il progetto sigstore della Linux Foundation sta portando l'attenzione su un'area vulnerabile per gli sviluppatori di software. Attualmente, pochissimi progetti firmano attivamente artefatti software. È dispendioso in termini di tempo, richiede una gestione aggiuntiva e spesso è meglio spenderlo altrove, piuttosto che occuparsi di complessi meccanismi di gestione delle chiavi.

Relazionato: I miti su HTTPS e certificati SSL a cui non dovresti credere

Attualmente, molti sviluppatori optano per l'opzione più semplice possibile, nascondendo le chiavi di crittografia critiche nei file readme o in altri luoghi vulnerabili. L'utilizzo di file potenzialmente facilmente accessibili privi di protezione è una ricetta per il disastro, come si è visto con le varie violazioni di GitHub e Bitbucket nel corso degli anni.

sigstore, quindi, dovrebbe rendere almeno un po 'più semplice la gestione delle chiavi di crittografia per i progetti software, consentendo agli sviluppatori di continuare con i bit di lavoro di cui godono effettivamente.

Come impostare HTTPS sul tuo sito: una guida semplice

Google contrassegna i siti web come "non protetti" se non utilizzano HTTPS. Non vuoi perdere traffico sul tuo sito? Configura SSL oggi stesso!

Circa l'autore