La Fundación Linux, junto con Red Hat, Google y la Universidad de Purdue (que tiene su campus principal en Indiana, Estados Unidos) han creado el proyecto sigstore o “sigstore project” que quiere ofrecer protección de la cadena de suministro. No olvidemos que el super ataque informático que sufrió SolarWinds a finales de 2020 consiguió aterrizar en muchas empresas e instituciones públicas del mundo tras conseguir intervenir su cadena de suministro.
Es decir, los atacantes comprometieron la seguridad de un tercero, en ese caso SolarWinds, y consiguieron, con ello, infiltrarse en compañías y entidades públicas que usan sus servicios, como Microsoft, la NASA o Cisco (y casi todas las compañías que integran la lista de Fortune 500). Y, sobre esta base, Linux y sus socios han trabajado en un nuevo servicio de software presentado ahora.
Funcionamiento de sigstore
Sobre este planteamiento acerca de la situación de SolarWinds, sigstore pretende mejorar la seguridad de la cadena de suministro de un software permitiendo a los desarrolladores firmar de forma segura programas de software, archivos, imágenes de contenedores y demás. Este servicio será gratuito para todos los desarrolladores y proveedores de software.
Eso sí, cabe decir que el código de sigstore y las herramientas que se utilizarán para que esto funcione aún están siendo desarrolladas por la comunidad.
Este sigstore utiliza el protocolo de autenticación OpenID que vinculan certificados con identidades. “Entendemos que la gestión de claves a largo plazo es difícil, por lo que hemos adoptado un enfoque único de emisión de certificados de corta duración basados en proveedores de identidad de OpenID Connect”, han explicado los portavoces de Google. Sigstore también almacena toda la actividad en Registros de Transparencia (o Transparency Logs), respaldados por Trillian, para poder detectar más fácilmente si hay algíun tipo de compromiso y poder atajar estos problemas en el momento en que se produzcan.
El objetivo de sigstore es hacer que firmar y verificar el código sea sencillo y para ello se ha creado una “Root CA” o autoridad de certificación raíz especial que estará disponible de forma gratuita. El cliente de firma de sigstore genera un par de claves de corta duración y se pone en contacto con la PKI (infraestructura de clave pública) de sigstore, que será gestionada por la Fundación Linux. Este servicio se encargará de comprobar si la concesión de OpenID connect es correcta y emite un certificado basado en las claves previar para firmar el software.
Con todo esto, aunque esté intervenido el código fuente de un software, “sigstore permite a todas las comunidades de código abierto firmar su software con el objetivo de que la cadena de suministro de software sea transparente y controlable”, según ha explicado Luke Hinds, Jefe de Ingeniería de Seguridad de la oficina del CTO de Red Hat.
Categorías
Noticias Relacionadas
El bitcoin ya es una moneda de curso legal en El Salvador, y el Gobierno ya tiene 400: así es Chivo, el wallet para los ciudadanos
Share on facebook Share on twitter Share on telegram Fuente: GENBETA Desde hoy mismo, 7 de septiembre, la criptomoneda bitcoin ya es una moneda de
Aprueban incremento de saldo máximo y límite para transacciones del monedero móvil de Transfermóvil
Share on facebook Share on twitter Share on telegram Fuente: GENBETA El Banco Central de Cuba aprobó la modificación de la licencia concedida a la
La criptomoneda Solana ha superado al Dogecoin esta semana y su enorme crecimiento tiene un aliado clave: los NFT
Share on facebook Share on twitter Share on telegram Fuente: GENBETA Además de estas imágenes de monos que tanto éxito obtuvieron, Solana también se ha
Este ajuste de Chrome, Edge y Brave que te permite conocer lo que tu navegador sabe y recuerda de tus búsquedas
Share on facebook Share on twitter Share on telegram Fuente: GENBETA Cuando estás navegando por Internet con Google Chrome o con otros navegadores basados en
WhatsApp permitirá elegir a qué contactos ocultar la “última vez”, pero el estado más problemático seguirá sin poder ocultarse
Share on facebook Share on twitter Share on telegram Fuente: GENBETA Con los años, la privacidad de WhatsApp ha ido mejorando mucho, tanto con el
WhatsApp le hace la competencia a Bizum y prueba el envío de dinero dentro de la app
Share on facebook Share on twitter Share on telegram Fuente: XATAKA WhatsApp le hace la competencia a Bizum y prueba el envío de dinero dentro