Linux Foundation wprowadza Sigstore

Sigstore to nowa inicjatywa non-profit, której celem jest poprawa bezpieczeństwa oprogramowania typu open source. Dzieje się tak dzięki ułatwieniu programistom stosowania podpisów kryptograficznych dla różnych składników procesu tworzenia oprogramowania.

Linux Foundation wprowadza Sigstore
  • Jan Wróblewski
  • /
  • 10 marca 2021

Co ważne, Sigstore będzie bezpłatny dla dostawców oprogramowania i programistów. Będą oni mogli go używać do bezpiecznego podpisywania tworzonego oprogramowania, a w szczególności:

  • plików wersji, 

  • obrazów kontenerów,

  • plików binarnych

  • manifestów.

Warto wspomnieć, że materiały do ​​podpisów są następnie przechowywane w dobrze zabezpieczonym dzienniku publicznym. Kod usługi i narzędzia operacyjne będą natomiast w pełni otwarte, utrzymywane i rozwijane przez społeczność Sigstore.

Skąd wziął się pomysł?

Pomysł na usługę wyszedł od Luke'a Hindsa, pełniącego funkcję szefa inżynierii bezpieczeństwa w firmie Red Hat. To właśnie on przedstawił koncepcję inżynierowi oprogramowania Google, Danowi Lorencowi. Od tego momentu obaj zaczęli nad nim pracować.

Czy tworzenie oprogramowania jest narażone na niebezpieczeństwo?

Niestety tak.

Użytkownicy coraz częściej są narażeni na ataki ukierunkowane, a także na włamania na konta i kompromitację kluczy kryptograficznych. Dzieje się tak, ponieważ osobom zajmującym się utrzymaniem oprogramowania, trudno jest zarządzać również kluczami.

Klucze publiczne są często przechowywane w plikach readme repozytorium git lub witrynach internetowych, gdzie niestety mogą być podatne na manipulacje i nie zapewniają bezpieczeństwa.

Jeżeli jesteś administratorem danych lub IOD

możesz liczyć na nasze wsparcie w zakresie RODO w Twojej firmie

Jaki jest cel podpisywania oprogramowania?

Podpisywanie oprogramowania ma na celu wzbudzenie zaufania i dostarczenie dowodów, na to, że dany kod pochodzi od konkretnego programisty lub dostawcy oprogramowania. Najważniejszą kwestią jest zapewnienie, że kod nie został naruszony. To z kolei daje użytkownikom pewność, że używają kodu z zaufanego źródła.

W praktyce niewiele projektów open source podpisuje kryptograficznie biblioteki oprogramowania. Większość programistów zaniedbuje kwestie bezpiecznego podpisu. Zestawy narzędzi, z których wiele osób korzystało w przeszłości, wymagają osobistego podpisywania kluczami innych osób. To z kolei nie działa w przypadku rozproszenia programistów. Sigstore ma na celu obniżenie ryzyka poprzez podpisywanie oprogramowania i zarządzanie całym procesem.

Dzisiaj, jeżeli programista podpisuje wytworzone przez siebie oprogramowanie, podejmuje również duże ryzyko i odpowiedzialność. Wynika to z konieczności chronienia klucza prywatnego.

Jak działa Sigstore?

Sigstore polega na protokole uwierzytelniania OpenID wykorzystywanego do łączenia certyfikatów z tożsamościami. Dzięki temu programiści korzystają z kontroli bezpieczeństwa, którego już dziś używają, takich jak:

  • uwierzytelnianie wieloskładnikowe,

  • hasła jednorazowe,

  • generatory tokenów sprzętowych.

Obecne rozwiązania do podpisywania działają głównie w celu zbudowania zupełnie nowego systemu tożsamości i zapewnienia użytkownikom kluczy prywatnych, za których ochronę są odpowiedzialni.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia o którym mowa w akrtykule?

Czy ten artykuł był przydatny?

Kliknij aby wrócić do strony głównej
Jak usunąć konto na Facebooku?
rozwiązania

Jak usunąć konto na Facebooku?

Ostatnia awaria na Facebooku nie przysporzyła serwisowi fanów. Wiele osób coraz częściej decyduje się na rezygnację z korzystania z najbardziej popularnego na świecie serwisu społecznościowego...

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!