The Linux Foundation lança sigstore, um novo serviço de assinatura de software

A Linux Foundation está lançando seu novo Sigstore projeto para fornecer melhor segurança e proteção para todos os aspectos da cadeia de suprimentos de software. O novo projeto permitirá que os desenvolvedores assinem aspectos específicos de seu processo de desenvolvimento, garantindo que os arquivos e outros ativos tenham criptografia forte e à prova de violação.

sigstore para proteger origens de software

The Linux Foundation's Sigstore é um serviço de assinatura de software público de uso livre e sem fins lucrativos que usará a tecnologia-chave existente para proteger melhor as cadeias de fornecimento de desenvolvimento de software.

Ele também usará tecnologias de registro transparentes para tornar mais fácil rastrear a "proveniência, integridade e descoberta "da cadeia de suprimentos de software, tornando mais fácil para os proprietários e contribuintes do projeto confiar e monitorar mudanças.

Resumindo, a sigstore pode fornecer aos desenvolvedores de software uma opção mais fácil de usar e gratuita para proteger os arquivos importantes associados a um projeto. Os desenvolvedores podem usar sigstore para assinar arquivos de lançamento, binários, manifestos, documentos, logs e muito mais.

Depois de assinados, os detalhes são adicionados a um "registro público à prova de violação" conhecido como Rekor, que a Linux Foundation também desenvolveu.

Os usuários são suscetíveis a vários ataques direcionados, juntamente com o comprometimento de contas e chaves criptográficas. As chaves em particular são um desafio para os mantenedores de software gerenciarem. Os projetos geralmente precisam manter uma lista das chaves atuais em uso e gerenciar as chaves de indivíduos que não contribuem mais para um projeto.

Santiago Torres-Arias, professor assistente de Engenharia Elétrica e de Computação da Universidade de Purdue, está "muito animado com as perspectivas de um sistema como o sigstore".

O ecossistema de software precisa urgentemente de algo parecido para relatar o estado da cadeia de suprimentos. Imagino que, com a sigstore respondendo a todas as perguntas sobre as fontes e propriedade do software, podemos começar a fazer as perguntas sobre destinos de software, consumidores, conformidade (legal e outros), para identificar redes criminosas e proteger a infraestrutura crítica de software

Relacionado: Como configurar SSL em seu site de forma rápida e gratuita com o Let's Encrypt

Protegendo Desenvolvedores de Software Vulneráveis

O projeto sigstore da Linux Foundation está chamando a atenção para uma área vulnerável para desenvolvedores de software. Atualmente, poucos projetos assinam ativamente artefatos de software. É demorado, requer gerenciamento extra e geralmente é melhor gastar o tempo em outro lugar - isso, em vez de lidar com mecanismos complexos de gerenciamento de chaves.

Relacionado: Os mitos sobre certificados HTTPS e SSL em que você não deve acreditar

Atualmente, muitos desenvolvedores optam pela opção mais fácil possível, ocultando chaves de criptografia críticas em arquivos leia-me ou outros locais vulneráveis. Usar arquivos potencialmente facilmente acessíveis e sem proteção é uma receita para o desastre, como visto com as várias violações do GitHub e do Bitbucket ao longo dos anos.

sigstore, então, deve tornar pelo menos um pouco mais fácil gerenciar chaves de criptografia para projetos de software, liberando os desenvolvedores para continuar com os bits de trabalho que realmente gostam.

Como configurar HTTPS em seu site: um guia simples

O Google está marcando sites como "não seguros" se eles não usarem HTTPS. Não quer perder tráfego para seu site? Configure o SSL hoje!

Sobre o autor