Kubernetes recurre a Sigstore para frustrar los ataques a la cadena de suministro de software de código abierto

El orquestador de contenedores Kubernetes ahora incluirá certificados firmados criptográficamente, utilizando el proyecto Sigstore creado el año pasado por la Fundación Linux, Google, Red Hat y la Universidad de Purdue, en un intento por protegerse contra los ataques a la cadena de suministro.

Los certificados de Sigstore se utilizan en la versión 1.24 de Kubernetes recién lanzada y en todas las versiones futuras.

Según el desarrollador fundador de Sigstore, Dan Lorenc, exmiembro del equipo de seguridad de código abierto de Google, el uso de certificados de Sigstore permite a los usuarios de Kubernetes verificar la autenticidad e integridad de la distribución que están utilizando «dando a los usuarios la capacidad de verificar firmas y tener una mayor confianza en el origen de todos y cada uno de los binarios, paquetes de código fuente e imágenes de contenedores implementados de Kubernetes».

Es un paso adelante para el desarrollo de software de código abierto en la batalla contra los ataques a la cadena de suministro de software.

VER: La botnet Emotet está de regreso y tiene nuevos trucos para propagar malware

La Fundación Linux anunció el proyecto Sigstore en marzo de 2021. El nuevo proyecto de seguridad de la cadena de suministro de código abierto Alpha-Omega, respaldado por Google y Microsoft, también utiliza certificados Sigstore. El equipo de seguridad de código abierto de Google anunció el proyecto Cosign relacionado con Sigstore en mayo de 2021 para simplificar la firma y la verificación de imágenes de contenedores, así como el libro mayor «resistente a la manipulación» de Rekor, que permite a los mantenedores de software crear sistemas para registrar metadatos firmados en un «registro inmutable». «.

Según Lorenc, la adopción de Sigstore por parte del equipo de lanzamiento de Kubernetes es parte de su trabajo en los niveles de la cadena de suministro para artefactos de software, o SLSA, un marco desarrollado por Google para proteger internamente su cadena de suministro de software que ahora es una especificación de tres niveles que está configurando Google. , Intel, la Fundación Linux y otros. Kubernetes 1.23 logró el cumplimiento de SLSA Nivel 1 en la versión 1.23.

«Sigstore fue un proyecto clave para lograr el estado de nivel 2 de SLSA y obtener una ventaja inicial para lograr el cumplimiento de nivel 3 de SLSA, que la comunidad de Kubernetes espera alcanzar este agosto», dice Lorenc.

Lorenc le dice a MarketingyPublicidad.es que la adopción de Sigstore por parte de Kubernetes es un gran paso adelante para el proyecto porque tiene alrededor de 5,6 millones de usuarios. El proyecto Sigstore también se acerca a los desarrolladores de Python con una nueva herramienta para firmar paquetes de Python, así como repositorios de paquetes importantes como Maven Central y RubyGems.

Kubernetes sirve como puntos focales críticos para ayudar a llamar la atención, tomar una gran cantidad de trabajo y tiene un impacto enorme en toda la cadena de suministro, dice.

Estos esfuerzos coinciden con nuevos proyectos como el nuevo Package Analysis Project, una iniciativa de Google y Open Source Security Foundation (OpenSSF) de Linux Foundation para identificar paquetes maliciosos para lenguajes populares como Python y JavaScript.

Los paquetes maliciosos se cargan regularmente en repositorios populares a pesar de los mejores esfuerzos, lo que a veces tiene consecuencias devastadoras para los usuarios, según Google.

Deja un comentario