A Fundação Linux Foundation, a Red Hat, o Google e a Purdue University anunciaram a criação de um projeto de open source chamado Sigstore, destinado a proteger e garantir gratuitamente a assinatura de software. A inciativa é uma consequência da invasão do sistema de atualizações da SolarWinds, invadido por hackers supostamente da Rússia, cujas consequências ainda não são totalmente conhecidas.
A sigstore permitirá aos desenvolvedores de software assinar com segurança artefatos de software, como novos arquivos, imagens de contêiner e binários. Os materiais de assinatura ficam então armazenados em um registro público à prova de violação. O serviço será gratuito para todos os desenvolvedores e fornecedores de software; o código Sigstore e as ferramentas de operação foram desenvolvidos pela comunidade Sigstore.
Veja isso
Como invasores se esconderam por 15 meses na SolarWinds
Solorigate envolveu acesso a codigo da Azure, Exchange e Intune
“A Sigstore permite que todas as comunidades de código aberto assinem seu software e combina procedência, integridade e capacidade de descoberta para criar uma cadeia de suprimentos de software transparente e auditável”, disse Luke Hinds, chefe de engenharia de segurança da Red Hat.
Poucos projetos de código aberto assinam criptograficamente artefatos de software. Isso se deve em grande parte aos desafios que os mantenedores de software enfrentam no gerenciamento de chaves, comprometimento / revogação de chaves e distribuição de chaves públicas de artefatos. Por sua vez, os usuários precisam procurar em quais chaves confiar e aprender as etapas necessárias para validar a assinatura.
Outros problemas existem em como digests e chaves públicas são distribuídos, muitas vezes armazenados em sites suscetíveis a hacks ou arquivos README em repositórios públicos git. A Sigstore busca resolver esses problemas por meio da utilização de chaves efêmeras de curta duração com uma raiz de confiança suportada com logs de transparência públicos, abertos e auditáveis.
Com agências internacionais