La Linux Foundation lance sigstore, un nouveau service de signature logicielle

La Linux Foundation lance son nouveau sigstore projet visant à améliorer la sécurité et la protection de tous les aspects de la chaîne d'approvisionnement des logiciels. Le nouveau projet permettra aux développeurs de signer des aspects spécifiques de leur processus de développement, en s'assurant que les fichiers et autres actifs comportent un cryptage solide et infalsifiable.

sigstore pour protéger les origines des logiciels

La Fondation Linux sigstore est un service de signature de logiciels de bien public gratuit à utiliser et à but non lucratif qui utilisera la technologie clé existante pour mieux protéger les chaînes d'approvisionnement de développement de logiciels.

Il utilisera également des technologies de journalisation transparentes pour faciliter le suivi de la "provenance, de l'intégrité et découvrabilité "de la chaîne logistique logicielle, ce qui permet aux maîtres d'ouvrage et aux contributeurs de faire confiance et de surveiller les changements.

En bref, sigstore pourrait fournir aux développeurs de logiciels une option plus facile à utiliser et gratuite pour protéger les fichiers importants associés à un projet. Les développeurs peuvent utiliser sigstore pour signer les fichiers de version, les binaires, les manifestes, les documents, les journaux, etc.

Une fois signés, les détails sont ajoutés à un "journal public inviolable" appelé rekor, que la Fondation Linux a également développé.

Les utilisateurs sont sensibles à diverses attaques ciblées, ainsi qu'à la compromission de compte et de clé cryptographique. Les clés en particulier sont un défi à gérer pour les responsables de la maintenance de logiciels. Les projets doivent souvent maintenir une liste des clés actuellement utilisées et gérer les clés des personnes qui ne contribuent plus à un projet.

Santiago Torres-Arias, professeur adjoint de génie électrique et informatique, Université de Purdue, est "très enthousiasmé par les perspectives d'un système comme sigstore".

L'écosystème logiciel a cruellement besoin de quelque chose comme celui-ci pour rendre compte de l'état de la chaîne d'approvisionnement. J'imagine que, avec sigstore répondant à toutes les questions sur les sources de logiciels et la propriété, nous pouvons commencer à poser les questions concernant destinations logicielles, consommateurs, conformité (légale et autre), pour identifier les réseaux criminels et sécuriser l'infrastructure logicielle critique

En rapport: Comment configurer SSL sur votre site rapidement et gratuitement avec Let's Encrypt

Protéger les développeurs de logiciels vulnérables

Le projet sigstore de la Fondation Linux attire l'attention sur une zone vulnérable pour les développeurs de logiciels. Actuellement, très peu de projets signent activement des artefacts logiciels. Cela prend du temps, nécessite une gestion supplémentaire et le temps est souvent mieux dépensé ailleurs, plutôt que de traiter des mécanismes de gestion clés complexes.

En rapport: Les mythes sur les certificats HTTPS et SSL auxquels vous ne devriez pas croire

Actuellement, de nombreux développeurs optent pour l'option la plus simple possible, cachant les clés de chiffrement critiques dans des fichiers Lisez-moi ou dans d'autres endroits vulnérables. Utiliser des fichiers potentiellement facilement accessibles qui manquent de protection est une recette pour un désastre, comme on l'a vu avec les différentes violations de GitHub et Bitbucket au fil des ans.

sigstore devrait donc faciliter au moins un peu la gestion des clés de chiffrement pour les projets logiciels, permettant ainsi aux développeurs de continuer avec le travail qu'ils apprécient réellement.

Comment configurer HTTPS sur votre site: un guide simple

Google marque les sites Web comme "non sécurisés" s'ils n'utilisent pas HTTPS. Vous ne voulez pas perdre de trafic sur votre site? Configurez SSL dès aujourd'hui!

A propos de l'auteur