Linux Foundation simplifie la vérification de l’authenticité du logiciel

Dans le but de protéger la chaîne d’approvisionnement des logiciels de ressources ouvertes, Linux Basis, avec Pink Hat, Google et Purdue University, se sont associés pour lancer un nouveau travail visant à aider les développeurs à indiquer de manière cryptographique leur progiciel.

Compte tenu de l’augmentation continue de la charge de l’adoption industrielle de logiciels open source, l’entreprise, appelée sigstore, vise à éviter une attaque contre un référentiel de progiciels grand public en injectant du code corrompu dans la chaîne source.

« Sigstore permet à toutes les communautés de ressources ouvertes d’indiquer leur application et rassemble la provenance, l’intégrité et la découvrabilité pour créer une chaîne d’offres de progiciels transparente et vérifiable », a expliqué Luke Hinds, responsable de l’ingénierie de stabilité, Crimson Hat business du CTO.

Sécurité de la chaîne d’approvisionnement

Arguant que la chaîne de fourniture de logiciels à la mode est exposée à divers dangers, la tâche revendique l’ensemble d’outils actuel, qui impliquera des personnes se réunissant en homme ou en femme pour signer les clés de l’autre, ce qui a bien fonctionné pendant si longtemps, n’est plus faisable dans l’écosystème actuel avec des équipes distantes géographiquement dispersées.

Ajoutez maintenant les complexités de l’administration critique, de la révocation, de la distribution des clés de la communauté et des résumés d’artefacts, et vous vous retrouvez dans une situation où de nombreux travaux de ressources ouvertes choisissent de ne pas signaler leur lancement afin d’éviter les frais généraux.

Pour surmonter ce problème, sigstore se présente comme « un fournisseur de signature de logiciels gratuits et non lucratifs qui exploite les systèmes actuels de PKI x509 et de journaux de transparence ». Les nouveaux services aideront les constructeurs et les clients à réaliser et à garantir l’origine et l’authenticité du programme, avec un minimum de frais généraux.

Il convient de noter que les dernières attaques SolarWinds ont été l’une des illustrations les plus courantes et les plus dévastatrices d’une attaque de chaîne d’offres.

« La sécurisation du déploiement d’un programme doit commencer par gagner la confiance que nous exploitons le logiciel que nous imaginons être. sigstore représente une chance formidable d’apporter plus d’estime de soi et de transparence à la chaîne d’approvisionnement des applications open source », a déclaré Josh Aas, directeur exécutif de l’autorité de certification SSL non lucrative, Let’s Encrypt.