Linux Foundation, ecco Sigstore: nuovo servizio per la verifica dell’autenticità del software
Nel tentativo di proteggere la catena di fornitura del software open source, la Linux Foundation, insieme a colossi dell’IT quali Red Hat, Google e la Purdue University si sono unite per lanciare un nuovo progetto: Sigstore. L’obiettivo? Aiutare gli sviluppatori a firmare il loro software garantendo così l’autenticità dello stesso.
Sigstore consentirà a tutta le comunità open source di firmare il proprio software per creare una catena di fornitura trasparente e verificabile. Collaborando con la Linux Foundation, possiamo accelerare il nostro lavoro e supportare al meglio lo sviluppo del software open.
queste le parole di Luke Hinds, Security Engineering Lead per Red Hat.
Sigstore
Sigstore permetterà di firmare in modo sicuro file di rilascio, immagini dei container e file binari. Il tutto viene poi archiviato in un registro pubblico (log) a prova di manomissione. Il servizio sarà gratuito per sviluppatori e fornitori di software. Considerando il costante aumento del tasso di adozione del software open source a livello industriale, garantirne l’autenticità è fondamentale. Penso, ad esempio, a quanto sarebbe importante impedire che un attacco a un repository di software pubblico inserisca codice malevolo in modo silente.
Ad oggi garantire l’autenticità del software è complesso e ci si appoggia ad una serie disparata di approcci. Purtroppo, le soluzioni esistenti spesso si basano su sistemi non sicuri che sono passibili di attacchi mirati. Inoltre, bisogna essere consci del fatto che pochi progetti open source firmano il software. Ciò è in gran parte dovuto alle sfide che i manutentori devono affrontare per gestire le chiavi. A loro volta, gli utenti devono cercare le chiavi di cui fidarsi e apprendere i passaggi necessari per convalidare la firma. Esistono ulteriori problemi nel modo in cui vengono distribuite le chiavi pubbliche, spesso archiviate su siti Web suscettibili di hack o, peggio ancora, su file README situati su repository git pubblici. Senza una standardizzazione, garantire la sicurezza della catena di fornitura del software è quasi impossibile. Sigstore ha l’ambizione di risolvere questi problemi.
Questo servizio, una manna dal cielo se avrà successo, sarà gratuito per tutti gli sviluppatori e i fornitori di software e li aiuterà e confermare l’origine e l’autenticità del codice in modo semplice. Ad oggi il progetto non è ancora pronto e non c’è una data di rilascio certa, per ulteriori dettagli vi rimando al sito ufficiale della Linux Foundation.
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.
Fonte: https://www.lffl.org/2021/03/linux-foundation-sigstore-verifica-autenticita-software.html
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
