LinuxFoundation annuncia sigstore, un’iniziativa per la sicurezza del software OpenSource
La Linux Foundation ha annunciato Sigstore, un’iniziativa no-profit volta a garantire maggiore sicurezza per i software open-source attraverso la possibilità di firmare crittograficamente con facilità le varie componenti dei progetti.
sigstore will empower software developers to securely sign software artifacts such as release files, container images and binaries. Signing materials are then stored in a tamper-proof public log.
sigstore permetterà agli sviluppatori di firmare in maniera sicura gli artifact software come i release file, le immagini dei container ed i binari. Le componenti usate per la firma verranno archiviate in un log pubblico sigillato (quindi immodificabile).
In questo modo l’utilizzatore finale potrà avere la garanzia relativa alla provenienza e l’autenticità del software che intende utilizzare.
Tra gli aspetti che, per quanto scontati quando si parla di Linux Foundation, in realtà non lo sono affatto, c’è la gratuità del servizio:
The service will be free to use for all developers and software providers, with the sigstore code and operation tooling developed by the sigstore community.
Il servizio sarà gratuitamente utilizzabile da tutti gli sviluppatori e software provider, con il codice di sigstore e dei tool operativi sviluppato dalla community di sigstore.
Ma chi fa parte di questa community? I membri fondatori sono Red Hat, Google e la Purdue University, quindi nella sostanza, almeno per i primi due nomi, si parte con il gota dell’open-source, ma c’è da scommettere come altre aziende si aggiungeranno nel breve termine. È indubbio infatti come il problema sia sentito dalla community, tanto che nell’annuncio viene specificamente spiegato quale limite attuale sigstore si pone a risolvere:
Very few open source projects cryptographically sign software release artifacts. This is largely due to the challenges software maintainers face on key management, key compromise / revocation and the distribution of public keys and artifact digests. […] sigstore seeks to solve these issues by utilization of short lived ephemeral keys with a trust root leveraged from an open and auditable public transparency logs.
Pochissimi progetti open source firmano crittograficamente gli artifact relativi alle proprie release. Questo è in gran parte dovuto alle sfide che i manutentori del software devono affrontare sulla gestione delle chiavi, la compromissione / revoca delle chiavi e la distribuzione delle chiavi pubbliche e dei digest degli artifact. […] sigstore cerca di risolvere questi problemi utilizzando chiavi effimere di breve durata con una radice di fiducia sfruttata da un registro di trasparenza pubblico aperto e verificabile.
Quindi nella sostanza viene utilizzato un approccio simile alla blockchain, ma senza quelli che sono (secondo i promotori del progetto) i limiti di questa tecnologia. Questi infatti vengono risolti dall’utilizzo di log trasparenti, evitando l’uso di entry point centralizzati e dell’esposizione degli algoritmi di consensus propri delle attuali blockchain.
L’obiettivo in ogni caso è identico: le informazioni di verifica sono pubbliche ed il contenuto può essere così verificato in autonomia, garantendo l’autenticità di quanto si sta utilizzando.
Tutte le specifiche del caso sono pubblicate all’indirizzo https://sigstore.dev/ che contiene un’ampia panoramica sulla struttura del progetto ed i suoi potenziali utilizzi.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
