O orquestrador de contêineres Kubernetes passa a incluir a partir de agora certificados assinados criptograficamente, usando o Sigstore, serviço gratuito para verificar a origem e autenticidade de software. Criado no ano passado pela Fundação Linux em parceria com o Google, Red Hat e a Universidade de Purdue, o Sigstore é uma tentativa de proteger contra ataques a software de código aberto para a cadeia de suprimentos.
Os certificados Sigstore estão sendo usados na recém-lançada versão 1.24 do Kubernetes e em todas as versões futuras.
De acordo com o desenvolvedor fundador da Sigstore, Dan Lorenc, ex-membro da equipe de segurança de código aberto do Google, o uso de certificados Sigstore permite que os usuários do Kubernetes verifiquem a autenticidade e a integridade da distribuição que estão usando, “dando a eles capacidade de verificar assinaturas e ter maior confiança na origem de cada binário Kubernetes implantado, pacote de código-fonte e imagem de contêiner”. Para ele, é um passo à frente para o desenvolvimento de software de código aberto na batalha contra os ataques à software para gestão da cadeia de suprimentos.
A Fundação Linux anunciou o projeto Sigstore em março de 2021. O novo projeto de segurança da cadeia de suprimentos de código aberto, batizado de Alpha-Omega, apoiado pelo Google e pela Microsoft, também usa certificados Sigstore. A equipe de segurança de código aberto do Google anunciou o projeto Cosign relacionado ao Sigstore em maio do ano passado para simplificar a assinatura e a verificação de imagens de contêiner, bem como o registro ‘inviolável’ Rekor, que permite que mantenedores de software e criem sistemas para registrar metadados assinados em um “registro imutável” “.
De acordo com Lorenc, a adoção do Sigstore pela equipe de lançamento do Kubernetes é parte de seu trabalho em níveis da cadeia de suprimentos para artefatos de software, ou SLSA — uma estrutura desenvolvida pelo Google para proteger internamente sua cadeia de suprimentos de software que agora é uma especificação de três níveis sendo moldada pelo Google, Intel, Fundação Linux e outros. O Kubernetes alcançou a conformidade com SLSA Nível 1 na versão 1.23.
Veja isso
Kubernetes é ponto fraco na defesa a ransomware, diz estudo
Google libera ferramenta para checar contêineres
“O Sigstore foi um projeto fundamental para alcançar o status SLSA nível 2 e ter um avanço para alcançar a conformidade com o SLSA nível 3, que a comunidade Kubernetes espera alcançar em agosto”, disse Lorenc à ZDNet. Segundo ele, a adoção do Sigstore pelo Kubernetes é um grande passo para o projeto, porque tem cerca de 5,6 milhões de usuários. O projeto Sigstore também está se aproximando dos desenvolvedores Python com uma nova ferramenta para assinar pacotes Python, bem como os principais repositórios de pacotes, como Maven Central e RubyGems.
“O Kubernetes serve como pontos focais críticos para ajudar a chamar a atenção, dar uma grande quantidade de trabalho e tem um impacto enorme em toda a cadeia de suprimentos”, disse Lorenc.
Esses esforços coincidem com novos projetos como o novo Package Analysis Project, uma iniciativa do Google e da Open Source Security Foundation (OpenSSF) da Fundação Linux para identificar pacotes maliciosos para linguagens populares como Python e JavaScript.Pacotes maliciosos como são enviados regularmente para repositórios populares, apesar de seus melhores esforços, com consequências às vezes devastadoras para os usuários, de acordo com o Google.