Linux Foundation quer deixar projetos open source mais seguros com Sigstore

Sigstore, da Linux Foundation, permite que desenvolvedores assinem projetos de código aberto para garantir procedência

Emerson Alecrim
• Atualizado há 3 anos
Programando (imagem ilustrativa por: Pixnio)
Programando (imagem ilustrativa: Pixnio)

A Linux Foundation, em parceria com organizações como Red Hat e Google, colocou em operação o Sigstore, serviço sem fins lucrativos que permite que desenvolvedores assinem e verifiquem softwares de código aberto. Essa medida pode evitar um tipo de ataque particularmente perigoso: a disseminação de pacotes maliciosos em repositórios públicos.

Para compreendermos a relevância dessa iniciativa, basta olharmos para a falha que colocou em risco sistemas de companhias como Microsoft, Apple, Netflix e Tesla nos últimos meses.

Tudo começa com o fato de muitos projetos de software serem baseados em dependências disponíveis em repositórios públicos, como npm (para Node), PyPi (para Python) e RubyGems (para Ruby), que podem receber conjuntos de códigos de qualquer pessoa.

A ameaça que ficou conhecida como “confusão de dependência” ocorre quando invasores enviam aos repositórios pacotes maliciosos usando nomes que remetem a pacotes preexistentes e inofensivos. Em casos extremos, eles também podem adulterar pacotes legítimos.

Então, quando um desenvolvedor ou outro profissional de TI executa um comando para baixar uma dependência, pode acabar obtendo um pacote perigoso, pois, apesar dos esforços, nenhum repositório consegue garantir que todos os códigos existentes ali estão livres de instruções maliciosas.

Com o Sigstore, o desenvolvedor poderá assinar projetos de código-aberto para atestar a procedência e integridade dos pacotes relacionados, gratuitamente. Como o Google exemplifica, a iniciativa pode ser comparada ao Let’s Encrypt, projeto seguro e confiável que fornece certificados gratuitos para HTTPS.

Procedimento de assinatura (animação: Google)

Procedimento de assinatura (animação: Google)

Ideias como essa não são inéditas. O problema é que as soluções disponíveis atualmente muitas vezes são armazenadas em serviços que não oferecem o nível de segurança necessário para esse tipo de aplicação.

Como forma de garantir a confiabilidade, o Sigstore foi baseado em certificados de curta duração do OpenID Connect e adota logs públicos de transparência que permitem que pacotes sejam facilmente monitorados e, em caso de comprometimento detectado, revisados em tempo hábil.

O Sigstore ainda está em fase inicial, mas a expectativa da Linux Foundation é a de que, com o passar do tempo, a iniciativa seja amplamente adotada por desenvolvedores dos mais diferentes projetos de código aberto.

Com informações: Bleeping Computer.

Leia | O que é open source? [Software de código aberto]

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.