La Fundación Linux lanza sigstore, un nuevo servicio de firma de software

La Fundación Linux lanza su nuevo sigstore proyecto para proporcionar una mejor seguridad y protección para todos los aspectos de la cadena de suministro de software. El nuevo proyecto permitirá a los desarrolladores firmar aspectos específicos de su proceso de desarrollo, asegurando que los archivos y otros activos tengan un cifrado sólido y a prueba de manipulaciones.

sigstore para proteger los orígenes del software

La Fundación Linux sigstore es un servicio de firma de software de valor público gratuito y sin fines de lucro que utilizará la tecnología clave existente para proteger mejor las cadenas de suministro de desarrollo de software.

También utilizará tecnologías de registro transparentes para facilitar el seguimiento de la "procedencia, integridad y descubrimiento "de la cadena de suministro de software, lo que facilita que tanto los propietarios del proyecto como los contribuyentes confíen y supervisar los cambios.

En resumen, sigstore podría proporcionar a los desarrolladores de software una opción más fácil de usar y gratuita para proteger los archivos importantes asociados con un proyecto. Los desarrolladores pueden usar sigstore para firmar archivos de lanzamiento, binarios, manifiestos, documentos, registros y más.

Una vez firmados, los detalles se agregan a un "registro público a prueba de manipulaciones" conocido como rekor, que también ha desarrollado la Fundación Linux.

Los usuarios son susceptibles a varios ataques dirigidos, junto con el compromiso de la cuenta y la clave criptográfica. Las claves en particular son un desafío para la gestión de los mantenedores de software. Los proyectos a menudo tienen que mantener una lista de las claves actuales en uso y administrar las claves de las personas que ya no contribuyen a un proyecto.

Santiago Torres-Arias, profesor asistente de Ingeniería Eléctrica e Informática de la Universidad de Purdue, está "muy entusiasmado con las perspectivas de un sistema como sigstore".

El ecosistema de software necesita urgentemente algo parecido para informar el estado de la cadena de suministro. Imagino que, con sigstore respondiendo todas las preguntas sobre las fuentes y la propiedad del software, podemos comenzar a hacer las preguntas sobre destinos de software, consumidores, cumplimiento (legal y de otro tipo), para identificar redes criminales y proteger la infraestructura de software crítica

Relacionado: Cómo configurar SSL en su sitio de forma rápida y gratuita con Let's Encrypt

Protección de desarrolladores de software vulnerables

El proyecto sigstore de la Fundación Linux está llamando la atención sobre un área vulnerable para los desarrolladores de software. Actualmente, muy pocos proyectos firman activamente artefactos de software. Consume mucho tiempo, requiere administración adicional y, a menudo, es mejor invertir el tiempo en otro lugar, en lugar de lidiar con complejos mecanismos de administración de claves.

Relacionado: Los mitos sobre HTTPS y certificados SSL que no debería creer

Actualmente, muchos desarrolladores optan por la opción más fácil posible, ocultando claves de cifrado críticas en archivos Léame u otros lugares vulnerables. El uso de archivos potencialmente accesibles que carecen de protección es una receta para el desastre, como se ha visto con las diversas infracciones de GitHub y Bitbucket a lo largo de los años.

sigstore, entonces, debería facilitar al menos un poco la administración de claves de cifrado para proyectos de software, liberando a los desarrolladores para que continúen con el trabajo que realmente disfrutan.

Cómo configurar HTTPS en su sitio: una guía sencilla

Google está marcando sitios web como "no seguros" si no utilizan HTTPS. ¿No quiere perder tráfico a su sitio? ¡Configure SSL hoy!

Sobre el Autor