Linux Foundation wprowadza Sigstore
Sigstore to nowa inicjatywa non-profit, której celem jest poprawa bezpieczeństwa oprogramowania typu open source. Dzieje się tak dzięki ułatwieniu programistom stosowania podpisów kryptograficznych dla różnych składników procesu tworzenia oprogramowania.
- Jan Wróblewski
- /
- 10 marca 2021
Co ważne, Sigstore będzie bezpłatny dla dostawców oprogramowania i programistów. Będą oni mogli go używać do bezpiecznego podpisywania tworzonego oprogramowania, a w szczególności:
plików wersji,
obrazów kontenerów,
plików binarnych
manifestów.
Warto wspomnieć, że materiały do podpisów są następnie przechowywane w dobrze zabezpieczonym dzienniku publicznym. Kod usługi i narzędzia operacyjne będą natomiast w pełni otwarte, utrzymywane i rozwijane przez społeczność Sigstore.
Skąd wziął się pomysł?
Pomysł na usługę wyszedł od Luke'a Hindsa, pełniącego funkcję szefa inżynierii bezpieczeństwa w firmie Red Hat. To właśnie on przedstawił koncepcję inżynierowi oprogramowania Google, Danowi Lorencowi. Od tego momentu obaj zaczęli nad nim pracować.
Czy tworzenie oprogramowania jest narażone na niebezpieczeństwo?
Niestety tak.
Użytkownicy coraz częściej są narażeni na ataki ukierunkowane, a także na włamania na konta i kompromitację kluczy kryptograficznych. Dzieje się tak, ponieważ osobom zajmującym się utrzymaniem oprogramowania, trudno jest zarządzać również kluczami.
Klucze publiczne są często przechowywane w plikach readme repozytorium git lub witrynach internetowych, gdzie niestety mogą być podatne na manipulacje i nie zapewniają bezpieczeństwa.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Jaki jest cel podpisywania oprogramowania?
Podpisywanie oprogramowania ma na celu wzbudzenie zaufania i dostarczenie dowodów, na to, że dany kod pochodzi od konkretnego programisty lub dostawcy oprogramowania. Najważniejszą kwestią jest zapewnienie, że kod nie został naruszony. To z kolei daje użytkownikom pewność, że używają kodu z zaufanego źródła.
W praktyce niewiele projektów open source podpisuje kryptograficznie biblioteki oprogramowania. Większość programistów zaniedbuje kwestie bezpiecznego podpisu. Zestawy narzędzi, z których wiele osób korzystało w przeszłości, wymagają osobistego podpisywania kluczami innych osób. To z kolei nie działa w przypadku rozproszenia programistów. Sigstore ma na celu obniżenie ryzyka poprzez podpisywanie oprogramowania i zarządzanie całym procesem.
Dzisiaj, jeżeli programista podpisuje wytworzone przez siebie oprogramowanie, podejmuje również duże ryzyko i odpowiedzialność. Wynika to z konieczności chronienia klucza prywatnego.
Jak działa Sigstore?
Sigstore polega na protokole uwierzytelniania OpenID wykorzystywanego do łączenia certyfikatów z tożsamościami. Dzięki temu programiści korzystają z kontroli bezpieczeństwa, którego już dziś używają, takich jak:
uwierzytelnianie wieloskładnikowe,
hasła jednorazowe,
generatory tokenów sprzętowych.
Obecne rozwiązania do podpisywania działają głównie w celu zbudowania zupełnie nowego systemu tożsamości i zapewnienia użytkownikom kluczy prywatnych, za których ochronę są odpowiedzialni.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?