SigStore é criptografia como serviço de assinatura de software para software de código aberto

10 de março de 2021

É evidente que a segurança para qualquer coisa é uma prioridade máxima agora. E, garantindo que o software que você use seja genuíno e desenvolvido pelos desenvolvedores originais é ainda mais importante.

Naturalmente, sempre haverá software pirateado ou modificado, mas mesmo com isso, se eles utilizarem a assinatura de código, você poderá verificar a fonte (se você confia neles em primeiro lugar).

Mesmo que a assinatura de software seja importante e tenha uma tonelada de benefícios para garantir a integridade do software, a assinatura de código não é algo adotada por muitos desenvolvedores.

Assim, para incentivá-los a assinar facilmente seu software junto com outros benefícios, a Fundação Linux se uniu ao Google e Red Hat para anunciar - "sigstore", que será um Serviço de assinatura de software de código aberto gratuito para permitir que os desenvolvedores assinem seu software e permitam que seus usuários verifiquem a integridade por meio de um log público.

Sigstore: O que é isso? Como é útil?

Para entender rapidamente o que é, o Google explica em seu blog post:

Assim como a forma como a criptografia fornece certificados gratuitos e ferramentas de automação para HTTPS, SigStore fornece certificados gratuitos e ferramentas para automatizar e verificar assinaturas de código-fonte.

Então, se você conhece o LetsEncrypt, você deve ter uma ideia do que é o Sigstore.

E, não é o único software/serviço de assinatura de código aberto.

Há muitos softwares de assinatura de código de código-fonte que já existem. No entanto, as ferramentas disponíveis não são tão boas, apresentam muitos desafios para o desenvolvedor, ou são simplesmente desconhecidas para os desenvolvedores.

Supply chain risks/sigstore.dev

Com este projeto, eles pretendem oferecer um serviço seguro de assinatura de software para melhorar a cadeia de suprimentos de software de código aberto e evitar desastres de segurança semelhantes a solarwinds. Teoricamente, ele deve ajudar os mantenedores de projetos a economizar tempo, mas ainda proteger sua cadeia de fornecimento de software de código aberto.

O SigStore confiará em pares de chaves de curta duração usando a ferramenta do cliente SigStore - portanto, uma melhor segurança eventualmente.

Não apenas limitado a capacitar os desenvolvedores com serviços de assinatura de software, mas também garantindo um log público à prova de adulteração para verificar se/quando foi originalmente assinado pelo desenvolvedor.

Alguns mantenedores do projeto acabam gerenciando chaves públicas em seu repo Git, que também não é totalmente seguro.

Mas, com sigstore, uma vez que a assinatura esteja completa, você pode descartar as chaves e não exigir que você gerencie as chaves. Todos os certificados serão registrados em um log público resistente a adulterações.

Além disso, o OpenID Connect Protocol será utilizado para verificar e proteger as identidades do autor de software. Portanto, você pode verificar o log para ver os detalhes e verificar a integridade do software.

Como mencionado em seu site oficial:

Estamos inicialmente direcionando artefatos de liberação genéricos, como tarballs, binários compilados e imagens de contêineres. Mais tarde, vamos explorar outros formatos (como jars) e manifestar assinatura, como SBOM etc. Nós também abrimos para colaborar com os gerentes de pacotes e aliviar a adoção de assinatura para suas comunidades.

Quase todas as ferramentas estão disponíveis para uso geral, mas está sendo constantemente desenvolvida, testada e melhorada ao ler isso. Portanto, sinta-se à vontade para conferir seu site oficial para o status atual do projeto e explorar as ferramentas disponíveis.

Pensamentos finais

Eu diria que é uma iniciativa fantástica e a comunidade de software de código aberto definitivamente precisa disso.

Dependendo de como o projeto progride e melhora, saberemos se realmente resolve os problemas que pretende abordar.

Claro, nenhum serviço de assinatura de código pode impedir a intenção maliciosa de um autor de software. Então, assim como todo site protegido com https não significa que é seguro usar completamente, você ainda terá que ficar de olho em como um software se comporta depois de verificar a integridade do software.

O que você acha do sigstore? Pessoalmente, aprecio a iniciativa de um serviço de assinatura de código aberto que tenta abordar múltiplos problemas em uma cadeia de suprimentos de software, sinta-se à vontade para me deixar conhecer seus pensamentos nos comentários.

Confira também a versão original desse post em inglês
Esse post foi originalmente escrito por Ankush Das e publicado no site itsfoss.com. Traduzido pela rtland.team

Sigstore is a Let’s Encrypt Like Software Signing Service for Open Source Software

Propaganda
Blog Comments powered by Disqus.
Propaganda