[ad_1]
Después de 2020 La campaña de espionaje cibernético de SolarWinds, en la que los piratas informáticos rusos inyectaron actualizaciones corruptas en una plataforma de administración de TI ampliamente utilizada, continúa subrayando una serie de otros ataques en la cadena de suministro de software, la necesidad urgente de bloquear las cadenas de custodia del software. Y el problema es particularmente apremiante con el código abierto, donde los proyectos son inherentemente descentralizados y, a menudo, empresas ad hoc. Luego de una serie de compromisos preocupantes en paquetes de software de JavaScript ampliamente descargados del conocido registro npm propiedad de GitHub, la compañía reveló esta semana un plan para ofrecer defensas de seguridad avanzadas de código abierto.
GitHub, que es propiedad de Microsoft, anunció el lunes que planea admitir la firma de código, una especie de sello de cera digital, para paquetes de software npm a través de la plataforma de firma de código Sigstore. La herramienta surgió de la colaboración entre industrias para que sea mucho más fácil para los mantenedores de código abierto verificar que el código que crean es el mismo código que termina en los paquetes de software que realmente descargan personas en todo el mundo.
«Si bien la mayoría de los paquetes de npm son de código abierto, actualmente no hay garantía de que un paquete en npm se cree a partir del mismo código fuente que se publica», dijo Justin Hutchings, director de gestión de productos de GitHub. «Los ataques a la cadena de suministro van en aumento, y agregar información de compilación firmada a los paquetes de código abierto que valida de dónde proviene el software y cómo se creó es una excelente manera de reducir la superficie de ataque».
En otras palabras, se trata de crear un juego de teléfono transparente y verificado criptográficamente.
Dan Lorenc, director ejecutivo de Chainguard, que Sigstore está desarrollando conjuntamente, enfatiza que si bien GitHub no es el único componente del ecosistema de código abierto, es un mercado absolutamente crucial para la comunidad, ya que es donde la gran mayoría de los proyectos almacenan sus proyectos y publicar código fuente. Sin embargo, cuando los desarrolladores realmente quieren descargar aplicaciones o herramientas de código abierto, generalmente van a un administrador de paquetes.
«No instalas el código fuente directamente, por lo general instalas una forma compilada, así que algo sucedió entre el código fuente y la construcción del paquete. Y hasta ahora, todo este paso era solo una caja negra en código abierto”, explica Lorenc. «Ves el código y luego descargas el paquete, pero nada prueba que el paquete provino de ese código o que la misma persona estuvo involucrada, así que GitHub lo soluciona».
Al ofrecer Sigstore a los administradores de paquetes, hay mucha más transparencia en cada etapa del viaje del software, y las herramientas de Sigstore ayudan a los desarrolladores a administrar las verificaciones y los requisitos criptográficos a medida que el software avanza a través de la cadena de suministro. Lorenc dice que muchas personas se sorprenden al escuchar que estos controles de integridad aún no existen y que gran parte del ecosistema de código abierto se ha basado en la confianza ciega durante tanto tiempo. En mayo de 2021, la Casa Blanca de Biden emitió una orden ejecutiva que aborda específicamente la seguridad de la cadena de suministro de software.
[ad_2]