Sigstore: nuevo servicio de Linux para evitar ataques a programas Open Source

La seguridad es un factor fundamental a todos los niveles. No importa el tipo de sistema operativo o dispositivo que estemos utilizando. Siempre debemos estar protegidos y no cometer ningún tipo de error que pueda pasarnos factura. En este artículo nos hacemos eco de Sigstore, un nuevo servicio gratuito que ha presentado Linux Foundation y que tiene como objetivo que los desarrolladores puedan firmar código y verificar software de código abierto para evitar así ataques.

Sigstone, el nuevo servicio para firmar y verificar software

Este nuevo servicio ha sido presentado por Linux Foundation, Red Hat, Google y Purdue. Tiene como objetivo que los desarrolladores puedan firmar código y evitar así posibles ataques que puedan apuntar a la cadena de suministro.

Hay que tener en cuenta que en muchas ocasiones el ecosistema de código abierto suele ser objeto de ataques. Para llevar a cabo estos ataques, los piratas informáticos crean paquetes maliciosos de código abierto y los cargan en repositorios públicos con nombres similares a los paquetes legítimos populares. Si un desarrollador incluye por error el paquete malicioso en su propio proyecto, el código malicioso se ejecutaría automáticamente cuando se compile el proyecto.

Para prevenir este tipo de ataques aparece Sigstore. Es, como hemos indicado, un servicio de firma de software libre y de uso gratuito que permitirá a los desarrolladores firmar software de código abierto y verificar su autenticidad.

Podemos decir que es comparable a Let’s Encrypt, que proporciona certificados gratuitos y herramientas de automatización para HTTPS. Por su parte, Sigstore proporciona certificados y herramientas gratuitos para automatizar y verificar firmas de código fuente.

Sigstore se basa en certificados de corta duración basados ​​en OpenID Connect, registros de transparencia públicos y una CA raíz especial asignada solo para la firma de código. De momento este proyecto está en desarrollo, por lo que habrá que esperar a que esté en pleno funcionamiento. Comprobar certificados SSL es importante, así como cualquier otro tipo que podamos encontrarnos.

Firmar código con Sigstore

Proteger el software que instalamos, algo fundamental para la seguridad

Es a través de los programas que instalamos, el software que descargamos de Internet, una de las formas que tienen los piratas informáticos de colar malware y atacar nuestros equipos. Pueden desplegar muchos tipos de ataques simplemente con instalar una aplicación.

Esto hace que sea muy importante elegir correctamente qué software vamos a instalar, de dónde vamos a descargarlo y por supuesto tenerlo siempre actualizado para corregir posibles vulnerabilidades que puedan surgir y sean explotadas por terceros.

La idea del proyecto de Sigstore es dar una mayor autenticidad al software utilizado por los desarrolladores a la hora de crear aplicaciones y poder ofrecer a los usuarios programas seguros, auténticos y sin ningún tipo de riesgo que pueda poner en peligro la privacidad.

Pero igualmente, cualquier programa puede llegar a sufrir algún tipo de vulnerabilidad en un futuro. De ahí la importancia de siempre instalar todas las actualizaciones que haya disponibles. Son muchos los fallos que podría haber y que son explotados por los atacantes para lograr robar información o acceder al sistema.