Les outils et services logiciels open source sont souvent créés rapidement et par nécessité. Linus Torvalds, par exemple, a créé la première version de git en un week-end lorsque l’équipe du noyau Linux ne pouvait plus utiliser BitKeeper pour la gestion du contrôle de source.
sigstore a été créé plus tôt cette année pour combler le manque énorme d’un outil de signature numérique simple, fiable et efficace pour confirmer la provenance (l’origine) du logiciel. Depuis mars 2021 sigstore a connu une croissance rapide et est utilisé pour divers projets. Cela inclut Kubernetes, l’un des plus grands projets open source au monde.
Mais comme Let’s Encrypt et le noyau Linux, sigstore nécessite des ressources. Construire la première version de l’outil est différent de rassembler des ressources pour permettre une adoption généralisée et le soutenir sur le long terme. C’est pourquoi nous sommes ravis d’annoncer aujourd’hui que le projet a reçu de généreuses contributions de Chainguard, Cisco, HPE, Google, Red Hat et VMware pour mener un audit de sécurité approfondi et embaucher un ingénieur des relations avec les développeurs à temps plein.
La réalité est qu’aujourd’hui, la majorité des logiciels ne sont pas signés numériquement. Sans signatures, il y a peu de preuves de la provenance du logiciel, donc la plupart des logiciels consommés ne sont pas fiables du point de vue cryptographique. Avec sigstore, les développeurs peuvent signer numériquement les conteneurs, les artefacts, la configuration en tant que code, la stratégie et tout fichier informatique donné. sigstore a le potentiel de devenir à la signature numérique ce que Let’s Encrypt est au HTTPS.
« En s’efforçant d’éliminer les exigences en matière de compétences spécialisées en cryptographie, sigstore s’engage à établir la confiance et la transparence dans la chaîne d’approvisionnement open source. La suppression de cette exclusivité est essentielle pour augmenter l’accès des développeurs à la signature cryptographique et créer un journal ouvert pour la responsabilité. Red Hat est fier de soutenir l’engagement constant de sigstore envers l’open source dans l’espace de sécurité de la chaîne d’approvisionnement », a déclaré Luke Hinds, ingénieur logiciel principal senior, Red Hat.
Pour plus d’informations sur sigstore, veuillez visiter: https://blog.sigstore.dev/
La poste sigstore, le service gratuit de signature numérique pour la sécurité de la chaîne d’approvisionnement open source, bénéficie d’une assistance supplémentaire est apparu en premier sur Fondation Linux.