Nel tentativo di proteggere la catena di fornitura del software open source, la Linux Foundation, insieme a colossi dell’IT quali Red Hat, Google e la Purdue University si sono unite per lanciare un nuovo progetto: Sigstore. L’obiettivo? Aiutare gli sviluppatori a firmare il loro software garantendo così l’autenticità dello stesso.
Sigstore consentirà a tutta le comunità open source di firmare il proprio software per creare una catena di fornitura trasparente e verificabile. Collaborando con la Linux Foundation, possiamo accelerare il nostro lavoro e supportare al meglio lo sviluppo del software open.
queste le parole di Luke Hinds, Security Engineering Lead per Red Hat.
Sigstore
Sigstore permetterà di firmare in modo sicuro file di rilascio, immagini dei container e file binari. Il tutto viene poi archiviato in un registro pubblico (log) a prova di manomissione. Il servizio sarà gratuito per sviluppatori e fornitori di software. Considerando il costante aumento del tasso di adozione del software open source a livello industriale, garantirne l’autenticità è fondamentale. Penso, ad esempio, a quanto sarebbe importante impedire che un attacco a un repository di software pubblico inserisca codice malevolo in modo silente.
Ad oggi garantire l’autenticità del software è complesso e ci si appoggia ad una serie disparata di approcci. Purtroppo, le soluzioni esistenti spesso si basano su sistemi non sicuri che sono passibili di attacchi mirati. Inoltre, bisogna essere consci del fatto che pochi progetti open source firmano il software. Ciò è in gran parte dovuto alle sfide che i manutentori devono affrontare per gestire le chiavi. A loro volta, gli utenti devono cercare le chiavi di cui fidarsi e apprendere i passaggi necessari per convalidare la firma. Esistono ulteriori problemi nel modo in cui vengono distribuite le chiavi pubbliche, spesso archiviate su siti Web suscettibili di hack o, peggio ancora, su file README situati su repository git pubblici. Senza una standardizzazione, garantire la sicurezza della catena di fornitura del software è quasi impossibile. Sigstore ha l’ambizione di risolvere questi problemi.
Questo servizio, una manna dal cielo se avrà successo, sarà gratuito per tutti gli sviluppatori e i fornitori di software e li aiuterà e confermare l’origine e l’autenticità del codice in modo semplice. Ad oggi il progetto non è ancora pronto e non c’è una data di rilascio certa, per ulteriori dettagli vi rimando al sito ufficiale della Linux Foundation.
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.
