La Linux Foundation lance sigstore, un nouveau service de signature logicielle
La Linux Foundation lance son nouveau projet sigstore pour fournir une meilleure sécurité et protection pour tous les aspects de la chaîne d'approvisionnement des logiciels. Le nouveau projet permettra aux développeurs de signer des aspects spécifiques de leur processus de développement, en s'assurant que les fichiers et autres actifs comportent un cryptage solide et infalsifiable.
sigstore pour protéger les origines des logiciels
Le sigstore de la Linux Foundation est un service de signature de logiciels de bien public gratuit et à but non lucratif qui utilisera la technologie clé existante pour mieux protéger les chaînes d'approvisionnement de développement de logiciels.
Il utilisera également des technologies de journalisation transparentes pour faciliter le suivi de la «provenance, l'intégrité et la découvrabilité» de la chaîne d'approvisionnement des logiciels, ce qui permettra aux propriétaires de projets et aux contributeurs de faire confiance et de surveiller plus facilement les changements.
En bref, sigstore pourrait fournir aux développeurs de logiciels une option plus facile à utiliser et gratuite pour protéger les fichiers importants associés à un projet. Les développeurs peuvent utiliser sigstore pour signer des fichiers de version, des binaires, des manifestes, des documents, des journaux, etc.
Une fois signés, les détails sont ajoutés à un "journal public inviolable" connu sous le nom de rekor , que la Fondation Linux a également développé.
Les utilisateurs sont sensibles à diverses attaques ciblées, ainsi qu'à la compromission de compte et de clé cryptographique. Les clés en particulier sont un défi à gérer pour les responsables de la maintenance de logiciels. Les projets doivent souvent maintenir une liste des clés actuellement utilisées et gérer les clés des personnes qui ne contribuent plus à un projet.
Santiago Torres-Arias, professeur adjoint de génie électrique et informatique, Université de Purdue, est "très enthousiasmé par les perspectives d'un système comme sigstore".
L'écosystème logiciel a cruellement besoin de quelque chose comme ça pour rendre compte de l'état de la chaîne d'approvisionnement. J'imagine que, avec sigstore répondant à toutes les questions sur les sources et la propriété des logiciels, nous pouvons commencer à poser les questions concernant les destinations logicielles, les consommateurs, la conformité (légale et autre), pour identifier les réseaux criminels et sécuriser l'infrastructure logicielle critique.
Protéger les développeurs de logiciels vulnérables
Le projet sigstore de la Fondation Linux attire l'attention sur une zone vulnérable pour les développeurs de logiciels. Actuellement, très peu de projets signent activement des artefacts logiciels. Cela prend du temps, nécessite une gestion supplémentaire et le temps est souvent mieux dépensé ailleurs, plutôt que de traiter des mécanismes de gestion clés complexes.
Actuellement, de nombreux développeurs optent pour l'option la plus simple possible, cachant les clés de chiffrement critiques dans des fichiers Lisez-moi ou dans d'autres endroits vulnérables. Utiliser des fichiers potentiellement facilement accessibles qui manquent de protection est une recette pour un désastre, comme on l'a vu avec les différentes violations de GitHub et Bitbucket au fil des ans.
sigstore devrait donc faciliter au moins un peu la gestion des clés de chiffrement pour les projets logiciels, permettant ainsi aux développeurs de continuer avec le travail qu'ils apprécient réellement.