18 diciembre 2024

Linux Foundation lanza servicio gratuito para autentificar software

La Fundación Linux acaba de anunciar un nuevo servicio para verificar la autenticidad de software a través de la adopción de la firma  de software cifrado.

El nuevo servicio se llama «sigstore» y el mismo permitirá a los desarrolladores incluir una firma cifrada  en artefactos de software como por ejemplo ficheros de lanzamiento y archivos binarios.

Las firmas luego serán almacenadas en un registro público y lo bueno de todo esto es que el servicio será gratis para todos los desarrolladores y proveedores de software.

Distribuciones de Linux - Office Workers
Imagen creada con DALL-E 3

Como bien lo explica la fundación Linux en el comunicado del anuncio, hasta ahora para confirmar la autenticidad del software comprende basarse en un conjunto de enfoques y formatos de datos que muy a menudo son dispares. Las soluciones existentes están basadas en resúmenes que se almacenan en sistemas inseguros que por ende son susceptibles de manipulación y pueden dar lugar a ataques de cyber criminales, como el cambio de resúmenes o los usuarios que son víctimas de ataques dirigidos.

En la actualidad existen algunos proyectos de fuente abierta similares, con firmas cifradas en artefactos de lanzamiento de software, pero como fueron creados no son fáciles de utilizar por los desafíos que enfrentan los que gestionan el software debido a la administración de claves, al compromiso/revocación de claves y a la distribución de claves públicas y resúmenes de artefactos.  Pero eso no es todo, a la misma vez los usuarios deben buscar en qué claves confiar y aprender los pasos necesarios para validar la firma.

Además también existen otros problemas en la forma en que se distribuyen los resúmenes y las claves públicas, las cuales a menudo se almacenan en sitios web susceptibles de ser pirateados o en un archivo README ubicado en un repositorio público de git.

Sigstore fue creado para poder resolver todos estos problemas anteriores mediante la utilización de claves efímeras de corta duración aprovechando  registros  públicos transparentes, abiertos y auditables.

Varias empresas participan en el proyecto y entre estos socios fundadores se encuentran Google, Red Hat y la Universidad Purdue.

Hablando sobre lo significativo de este lanzamiento el Jefe de Ingeniería de Seguridad de la oficina de Red Hat del CTO, Luke Hinds, comentó que «Sigstore permite que todas las comunidades de código abierto firmen su software y combina la procedencia, la integridad y la capacidad de descubrimiento para crear una cadena de suministro de software transparente y auditable.  Al albergar esta colaboración en la Fundación Linux, podemos acelerar nuestro trabajo en sigstore y respaldar la adopción y el impacto continuos del software y el desarrollo de código abierto«.

Por su parte el CEO de ISRG | Let’s Encrypt, Josh Aas, también comentó que «Asegurar una implementación de software debe comenzar con asegurarnos de que estamos ejecutando el software que creemos que estamos. Sigstore representa una gran oportunidad para brindar más confianza y transparencia a la cadena de suministro de software de código abierto«.

Si necesitan más información sobre sigstore, pueden obtenerla en su sitio web.

Siguenos por Twitter a través de @Geeksroom y no te pierdas todas las noticias, cursos gratuitos y demás artículos. También puedes seguirnos a través de nuestro canal de Youtube para ver nuestros vídeos, a través de Instagram para ver nuestras imágenes! O vía Bluesky si ya estás cansado de Twitter

Hector Russo

Desde su juventud se ha dedicado a la Tecnología de la Información. En su oportunidad fue incluido por Ivy Worldwide en su lista Top 25 influencers en Tecnología. Actualmente es miembro del panel de jurados que elige los mejores vehículos del año para el mercado hispano de Estados Unidos, a través de los Hispanic Motor Press Awards.

Ver todas las entradas de Hector Russo →