Linux Foundation quer deixar projetos open source mais seguros com Sigstore
Sigstore, da Linux Foundation, permite que desenvolvedores assinem projetos de código aberto para garantir procedência
Sigstore, da Linux Foundation, permite que desenvolvedores assinem projetos de código aberto para garantir procedência
A Linux Foundation, em parceria com organizações como Red Hat e Google, colocou em operação o Sigstore, serviço sem fins lucrativos que permite que desenvolvedores assinem e verifiquem softwares de código aberto. Essa medida pode evitar um tipo de ataque particularmente perigoso: a disseminação de pacotes maliciosos em repositórios públicos.
Para compreendermos a relevância dessa iniciativa, basta olharmos para a falha que colocou em risco sistemas de companhias como Microsoft, Apple, Netflix e Tesla nos últimos meses.
Tudo começa com o fato de muitos projetos de software serem baseados em dependências disponíveis em repositórios públicos, como npm (para Node), PyPi (para Python) e RubyGems (para Ruby), que podem receber conjuntos de códigos de qualquer pessoa.
A ameaça que ficou conhecida como “confusão de dependência” ocorre quando invasores enviam aos repositórios pacotes maliciosos usando nomes que remetem a pacotes preexistentes e inofensivos. Em casos extremos, eles também podem adulterar pacotes legítimos.
Então, quando um desenvolvedor ou outro profissional de TI executa um comando para baixar uma dependência, pode acabar obtendo um pacote perigoso, pois, apesar dos esforços, nenhum repositório consegue garantir que todos os códigos existentes ali estão livres de instruções maliciosas.
Com o Sigstore, o desenvolvedor poderá assinar projetos de código-aberto para atestar a procedência e integridade dos pacotes relacionados, gratuitamente. Como o Google exemplifica, a iniciativa pode ser comparada ao Let’s Encrypt, projeto seguro e confiável que fornece certificados gratuitos para HTTPS.
Ideias como essa não são inéditas. O problema é que as soluções disponíveis atualmente muitas vezes são armazenadas em serviços que não oferecem o nível de segurança necessário para esse tipo de aplicação.
Como forma de garantir a confiabilidade, o Sigstore foi baseado em certificados de curta duração do OpenID Connect e adota logs públicos de transparência que permitem que pacotes sejam facilmente monitorados e, em caso de comprometimento detectado, revisados em tempo hábil.
O Sigstore ainda está em fase inicial, mas a expectativa da Linux Foundation é a de que, com o passar do tempo, a iniciativa seja amplamente adotada por desenvolvedores dos mais diferentes projetos de código aberto.
Com informações: Bleeping Computer.