Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
HogarSigstore: raíces de confianza para artefactos de software
Por Dan Lorenc, InfoWorld |
Tecnología emergente analizada por tecnólogos
De los aproximadamente cinco mil millones de personas que utilizan Internet, sólo una pequeña fracción tiene algún conocimiento de cómo funcionan la seguridad de la capa de transporte (TLS), los certificados digitales o las claves públicas. Diga lo que quiera sobre los peligros de seguridad que los usuarios todavía enfrentan en Internet hoy en día, pero es bastante notable lo bien que estos protocolos básicos para la confianza entre los sitios web y los visitantes del sitio han manejado la escala masiva de Internet en los últimos 20 años.
Por el contrario, el concepto de seguridad de la cadena de suministro de software es todavía relativamente nuevo. Los titulares sobre SolarWinds y Log4j crearon una conciencia básica sobre las puertas traseras que se crean cuando los desarrolladores utilizan artefactos de software de procedencia desconocida. Pero, ¿cómo tomamos estos mismos principios básicos de cómo funciona la confianza en Internet y los aplicamos para establecer confianza entre los artefactos de software y los millones de desarrolladores que los utilizan? La mayoría de los desarrolladores de software todavía se encuentran en las primeras fases de intentar comprender esto.
Recientemente, escuché a Vint Cerf discutir los paralelismos entre la infraestructura de clave pública (PKI) web inicial y el ecosistema emergente de firma de artefactos y firma de código abierto. Lo que me llamó la atención es que, si bien gran parte de la confianza en Internet fue impulsada por grupos influyentes como el Foro de Navegadores de Autoridades de Certificación, que galvanizó el uso de estos protocolos incorporándolos a navegadores y sistemas operativos. En lo que respecta a la seguridad de la cadena de suministro de software, no existe ningún grupo equivalente que impulse esto. Todos estamos haciendo que funcione de una manera comunitaria abierta y sobre la base de proyectos de código abierto.
Si desea orientarse sobre la evolución de este dominio de seguridad emergente, no existe ningún proyecto de código abierto con mayor impulso o fusión industrial que Sigstore, el proyecto canónico de firma de artefactos de la cadena de suministro de software. Echemos un vistazo a algunos de los principios y primitivos de Sigstore, para que comprenda lo que hay debajo del capó la próxima vez que vea que su administrador de paquetes o sistema de compilación esté utilizando el sello de aprobación de Sigstore.
La infraestructura PKI de la web se diseñó de manera que se confíe en cualquier autoridad de certificación web (CA) para emitir certificados para cualquier dominio en Internet. Vigilar estos certificados contra el abuso (por ejemplo, una CA que emite un certificado para un dominio que no controla, como el sitio web de su banco) es algo llamado marco de Transparencia de Certificados. Es un marco de blockchain abierto que proporciona un libro de contabilidad público "solo para agregar".
Los registros de transparencia son fundamentales porque brindan a los desarrolladores y equipos de seguridad la capacidad de monitorear que todos los certificados emitidos para el nombre de dominio de una empresa se emitan correctamente. Esto le ayuda a detectar si alguien se hace pasar por su empresa y falsifica su tráfico. El objetivo de los registros de transparencia es registrar esos errores para poder encontrarlos más tarde, recuperarse de ellos y mitigar los problemas.
Sigstore es un marco de código abierto que tomó el marco de Transparencia de Certificados (así como el popular marco TLS, Let's Encrypt) como inspiración para resolver de manera efectiva desafíos muy similares que existen para la integridad de los artefactos de software en la seguridad de la cadena de suministro. Cuando descargamos un artefacto de software, ¿cómo sabemos quién lo creó y si es el mismo artefacto (y no un impostor malicioso) que estamos descargando? Sigstore resuelve esto permitiendo a los desarrolladores firmar de forma segura artefactos de software, como archivos de lanzamiento, imágenes de contenedores, archivos binarios, SBOM (listas de materiales de software) y más. Luego, los materiales firmados se almacenan en un registro público de transparencia a prueba de manipulaciones.
Hay tres primitivas clave que impulsan Sigstore. Necesitas los tres juntos para construir todo el rompecabezas de Sigstore, pero tienen propósitos diferentes e independientes:
Una cosa que, en última instancia, la seguridad de la cadena de suministro de software puede tener en común con TLS en la web es que la mayoría de las personas que lo utilizan pueden ni siquiera saber qué hay debajo del capó y qué lo hace posible. ¡Y eso está bien!
Sigstore es una evolución de conceptos de casi 10 años que se remonta al documento ACM Queue de 2014, Transparencia de certificados: registros públicos, verificables y de solo anexar. El código abierto de Trillian (una base de datos que utiliza registros de transparencia como primitivo central) por parte de Google fue otro gran paso evolutivo en 2016. El trabajo de Mozilla en torno a la transparencia binaria poco después profundizó en la importancia de "saber qué hay en su software" y fue otra gran inspiración. Para el proyecto. Y, por supuesto, la presentación de Fulcio por parte de Brandon Phillips fue otro momento decisivo para el proyecto.
Pero, en última instancia, como desarrollador, lo que más le importará de Sigstore es que no tiene que pensar en ello ni apreciar ninguno de los pasos evolutivos que llevaron a su existencia.
Lo que debería importarle es que Sigstore se ha convertido en el método de firma de software predeterminado para todo, desde Kubernetes hasta registros de idiomas como NPM (JavaScript), Maven (Java) y PyPi (Python). Más de un millón de artefactos de software se encuentran en el Registro de transparencia de Sigstore (Rekor).
Hoy en día, cuando descargas un paquete de un registro popular, probablemente estés usando Sigstore sin saberlo, de la misma manera que ya no piensas en HTTPS o certificados cuando navegas por la web. Y esa es la señal más segura de que estamos logrando avances importantes en la seguridad de la cadena de suministro de software.
Dan Lorenc es director ejecutivo y cofundador de Chainguard. Anteriormente, fue ingeniero de software y líder del equipo de seguridad de código abierto (GOSST) de Google. Ha fundado proyectos como Minikube, Skaffold, TektonCD y Sigstore.
—
New Tech Forum ofrece un lugar para explorar y discutir la tecnología empresarial emergente con una profundidad y amplitud sin precedentes. La selección es subjetiva y se basa en nuestra elección de las tecnologías que creemos que son importantes y de mayor interés para los lectores de InfoWorld. InfoWorld no acepta garantías de marketing para su publicación y se reserva el derecho de editar todo el contenido aportado. Envíe todas las consultas a [email protected].
A continuación lee esto:
Copyright © 2023 IDG Communications, Inc.
Registrofulciocofirmar New Tech Forum ofrece un lugar para explorar y discutir la tecnología empresarial emergente con una profundidad y amplitud sin precedentes. La selección es subjetiva y se basa en nuestra elección de las tecnologías que creemos que son importantes y de mayor interés para los lectores de InfoWorld. InfoWorld no acepta garantías de marketing para su publicación y se reserva el derecho de editar todo el contenido aportado. Envíe todas las consultas a [email protected].A continuación lee esto: