Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
CasaSigstore: radici della fiducia per gli artefatti software
Di Dan Lorenc, InfoWorld |
Tecnologia emergente sezionata dai tecnologi
Dei circa cinque miliardi di persone che utilizzano Internet, solo una piccola parte ha una conoscenza di come funzionano il Transport Layer Security (TLS), i certificati digitali o le chiavi pubbliche. Dite quello che volete sui pericoli per la sicurezza che gli utenti ancora affrontano su Internet oggi, ma è piuttosto notevole il modo in cui questi protocolli fondamentali per la fiducia tra siti Web e visitatori del sito hanno gestito l'enorme scala di Internet negli ultimi 20 anni.
Al contrario, il concetto di sicurezza della catena di fornitura del software è ancora relativamente nuovo. I titoli su SolarWinds e Log4j hanno creato una certa consapevolezza di base sulle backdoor che si creano quando gli sviluppatori utilizzano artefatti software di provenienza sconosciuta. Ma come possiamo prendere questi stessi principi di base su come funziona la fiducia su Internet e applicarli per stabilire la fiducia tra gli artefatti software e i milioni di sviluppatori che li utilizzano? La maggior parte degli sviluppatori di software sono ancora nelle prime fasi di tentativo di capirlo.
Di recente, ho sentito Vint Cerf discutere dei parallelismi tra la prima infrastruttura web a chiave pubblica (PKI) e la firma emergente degli artefatti e l'ecosistema di firma open source. Ciò che mi ha colpito è che, sebbene gran parte della fiducia in Internet sia stata guidata da gruppi influenti come il Certification Authority Browser Forum, che hanno galvanizzato l’uso di questi protocolli inserendoli nei browser e nei sistemi operativi. Per quanto riguarda la sicurezza della catena di fornitura del software, non esiste un gruppo equivalente che si occupi di tutto ciò. Stiamo tutti facendo in modo che funzioni in un modo di comunità aperta e sulle basi di progetti open source.
Se vuoi orientarti sull'evoluzione di questo dominio di sicurezza emergente, non esiste progetto open source con più slancio o coalescenza di settore di Sigstore, il canonico progetto di firma degli artefatti della catena di fornitura del software. Diamo un'occhiata ad alcuni dei principi e delle primitive di Sigstore, così capirai cosa c'è sotto il cofano la prossima volta che vedrai che il tuo gestore di pacchetti o sistema di build utilizza il sigillo di cera di approvazione di Sigstore.
L'infrastruttura PKI del Web è stata progettata in modo tale che qualsiasi autorità di certificazione (CA) Web sia affidabile per emettere certificati per qualsiasi dominio su Internet. Proteggere questi certificati dagli abusi, ad esempio una CA che emette un certificato per un dominio che non controlla, come il sito web della tua banca, è qualcosa chiamato Certificate Transparency framework. È un framework blockchain aperto che fornisce un registro pubblico "append-only".
I registri di trasparenza sono fondamentali perché offrono agli sviluppatori e ai team di sicurezza la possibilità di monitorare che tutti i certificati emessi per il nome di dominio di un'azienda siano emessi correttamente. Questo ti aiuta a rilevare se qualcuno si maschera da azienda e falsifica il tuo traffico. Lo scopo dei registri di trasparenza è quello di catturare quegli errori nel registro in modo da poterli ritrovare in seguito, correggerli e mitigare gli aspetti negativi.
Sigstore è un framework open source che ha preso il framework Certificate Transparency (così come il popolare framework TLS, Let's Encrypt) come ispirazione per risolvere in modo efficace le sfide molto simili che esistono per l'integrità degli artefatti software nella sicurezza della catena di fornitura. Quando scarichiamo un artefatto software, come facciamo a sapere da chi è stato creato e che si tratta dello stesso artefatto (e non di un impostore dannoso) che stiamo scaricando? Sigstore risolve questo problema consentendo agli sviluppatori di firmare in modo sicuro elementi software come file di rilascio, immagini di contenitori, file binari, SBOM (distinte materiali software) e altro ancora. I materiali firmati vengono quindi archiviati in un registro di trasparenza pubblica a prova di manomissione.
Ci sono tre primitive chiave che guidano Sigstore. Ti servono tutti e tre insieme per costruire l'intero puzzle Sigstore, ma hanno scopi diversi e indipendenti: