Red Hat, Google et l’Université Purdue dirigent les efforts visant à garantir que les responsables de la maintenance de logiciels, les distributeurs et les consommateurs ont pleinement confiance en leur code, leurs artefacts et leurs outils.

SAN FRANCISCO, Californie, 9 mars 2021 – La Linux Foundation, l’organisation à but non lucratif permettant l’innovation de masse grâce à l’open source, a annoncé aujourd’hui le projet sigstore. sigstore améliore la sécurité de la chaîne d’approvisionnement des logiciels en permettant l’adoption facile de la signature de logiciels cryptographiques soutenue par des technologies de journalisation de la transparence.

sigstore permettra aux développeurs de logiciels de signer en toute sécurité des artefacts logiciels tels que des fichiers de version, des images de conteneurs et des binaires. Les documents de signature sont ensuite stockés dans un journal public inviolable. Le service sera gratuit pour tous les développeurs et fournisseurs de logiciels, avec le code sigstore et les outils d’exploitation développés par la communauté sigstore. Les membres fondateurs comprennent Red Hat, Google et Purdue University.

«Sigstore permet à toutes les communautés open source de signer leurs logiciels et combine provenance, intégrité et découvrabilité pour créer une chaîne d’approvisionnement logicielle transparente et contrôlable», a déclaré Luke Hinds, responsable de l’ingénierie de la sécurité, bureau Red Hat du CTO. «En hébergeant cette collaboration à la Linux Foundation, nous pouvons accélérer notre travail dans sigstore et soutenir l’adoption et l’impact continus des logiciels open source et du développement.»

Comprendre et confirmer l’origine et l’authenticité des logiciels repose sur un ensemble souvent disparate d’approches et de formats de données. Les solutions qui existent reposent souvent sur des résumés stockés sur des systèmes non sécurisés qui sont susceptibles d’être falsifiés et peuvent conduire à diverses attaques telles que le remplacement des résumés ou les utilisateurs qui sont la proie d’attaques ciblées.

Publicité

«Sécuriser un déploiement de logiciel doit commencer par s’assurer que nous exécutons le logiciel que nous pensons être. Sigstore représente une excellente opportunité d’apporter plus de confiance et de transparence à la chaîne d’approvisionnement des logiciels open source », a déclaré Josh Aas, directeur exécutif, ISRG | Let’s Encrypt.

Très peu de projets open source signent de manière cryptographique des artefacts de version logicielle. Cela est en grande partie dû aux défis auxquels sont confrontés les responsables de la maintenance des logiciels en matière de gestion des clés, de compromission / révocation de clés et de distribution de clés publiques et de résumés d’artefacts. À leur tour, les utilisateurs doivent rechercher les clés de confiance et apprendre les étapes nécessaires pour valider la signature. D’autres problèmes existent dans la façon dont les résumés et les clés publiques sont distribués, souvent stockés sur des sites Web susceptibles d’être piratés ou un fichier README situé sur un référentiel git public. sigstore cherche à résoudre ces problèmes en utilisant des clés éphémères de courte durée avec une racine de confiance exploitée à partir de journaux de transparence publics ouverts et vérifiables.

«Je suis très enthousiasmé par les perspectives d’un système comme sigstore. L’écosystème logiciel a cruellement besoin de quelque chose comme celui-ci pour rendre compte de l’état de la chaîne d’approvisionnement. J’imagine que, avec sigstore répondant à toutes les questions sur les sources et la propriété des logiciels, nous pouvons commencer à poser les questions concernant les destinations logicielles, les consommateurs, la conformité (légale et autre), pour identifier les réseaux criminels et sécuriser l’infrastructure logicielle critique. Cela donnera un nouveau ton dans la conversation sur la sécurité de la chaîne d’approvisionnement des logiciels », a déclaré Santiago Torres-Arias, professeur adjoint de génie électrique et informatique à l’Université de Purdue / fondateur du projet in-toto.

«Sigstore est sur le point de faire progresser l’état de l’art en matière de développement open source», a déclaré Mike Dolan, vice-président senior et directeur général des projets à la Linux Foundation. «Nous sommes heureux d’héberger et de contribuer à des travaux qui permettent aux mainteneurs de logiciels et aux consommateurs de gérer plus facilement leurs logiciels open source et leur sécurité.

«Sigstore vise à rendre toutes les versions de logiciels open source vérifiables et à permettre aux utilisateurs de les vérifier facilement. J’espère que nous pourrons vous faciliter la tâche en quittant vim », Dan Lorenc, équipe de sécurité Google Open Source. «Voir cela prendre forme en plein air a été amusant. C’est formidable de voir sigstore dans une maison stable. »

Pour plus d’informations et pour contribuer, veuillez visiter: https://sigstore.dev

À propos de la Linux Foundation

Fondée en 2000, la Linux Foundation est soutenue par plus de 1 000 membres et est le leader mondial de la collaboration sur les logiciels open source, les normes ouvertes, les données ouvertes et le matériel ouvert. Les projets de la Linux Foundation sont essentiels pour l’infrastructure mondiale, notamment Linux, Kubernetes, Node.js, etc. La méthodologie de la Linux Foundation se concentre sur l’exploitation des meilleures pratiques et la réponse aux besoins des contributeurs, des utilisateurs et des fournisseurs de solutions pour créer des modèles durables de collaboration ouverte. Pour plus d’informations, veuillez nous rendre visite à linuxfoundation.org.

###

La Linux Foundation a des marques déposées et utilise des marques. Pour une liste des marques déposées de The Linux Foundation, veuillez consulter notre page d’utilisation des marques déposées: https://www.linuxfoundation.org/trademark-usage. Linux est une marque déposée de Linus Torvalds.

Contact médias

Jennifer Cloer

pour Linux Foundation

503-867-2304

jennifer@storychangesculture.com

La poste Linux Foundation annonce un service de signature sigstore gratuit pour confirmer l’origine et l’authenticité du logiciel est apparu en premier le Fondation Linux.

Rate this post
Publicité
Article précédentSXSW glisse à droite sur le projet de smartphone de Timur Bekmambetov «iBible»; La série sera présentée en première au festival en ligne
Article suivantLe club de la société d’anime | NOUVELLES DU SUD
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici