El servicio gratuito de firma digital tiene como objetivo reforzar la seguridad de la cadena de suministro de software
Regístrese ahora para obtener su pase virtual gratuito para la Cumbre Low-Code/No-Code del 9 de noviembre. Escuche a los líderes de Service Now, Credit Karma, Stitch Fix, Appian y más. Obtenga más información.
La mayor parte del código en los artefactos de software modernos de hoy en día es de código abierto. Sin embargo, los controles de seguridad en torno a este código no son tan sofisticados ni tan generalizados como deberían ser. Por esta razón, se deben capturar firmas sólidas y verificables: brindan información sobre los componentes, sus autores y cualquier posible manipulación.
"No hornearías un pastel sin una certeza razonable de que los ingredientes que usaste eran puros", dijo Trevor Rosen, gerente de ingeniería de personal y líder de seguridad de paquetes en GitHub. "Pero eso es esencialmente lo que los autores de software que usan código abierto sin firma se ven obligados a hacer hoy: usar el ingrediente y esperar lo mejor".
Para impulsar una adopción más amplia de la firma de software y proteger aún más la cadena de suministro de software, la comunidad de Sigstore anunció hoy en SigstoreCon la disponibilidad general de su servicio de firma de software gratuito.
La herramienta está diseñada para mejorar la seguridad de la cadena de suministro al facilitar la firma, verificación y control del software que crean y usan los desarrolladores.
EventoVértice de código bajo/sin código
Únase a los principales líderes de hoy en Low-Code/No-Code Summit virtualmente el 9 de noviembre. Regístrese para obtener su pase gratis hoy.
registrarse aquíLas firmas son "tremendamente útiles" dentro de una cadena de suministro de software, donde el código y los artefactos se transmiten a lo largo de una cadena de sistemas, dijo Luke Hinds, fundador del proyecto y jefe de ingeniería de seguridad de software en Red Hat en la oficina del CTO.< / p>
"Con las firmas digitales, podemos garantizar que el software sea a prueba de manipulaciones y tengamos certeza de su fuente original", dijo.
Verificación adecuada para evitar violaciones de datosLos ataques a la cadena de suministro ahora representan una quinta parte de todas las filtraciones de datos y alcanzan un máximo histórico de 4,35 millones de dólares.
"Los problemas de seguridad de la cadena de suministro son generalizados, ya que la superficie de ataque es amplia, las ganancias en el éxito son enormes y el ecosistema actual tiene relativamente pocas defensas", dijo Rosen. .
Por eso es tan importante firmar digitalmente los diversos artefactos que componen las aplicaciones, desde archivos binarios y contenedores hasta archivos agregados y listas de materiales de software (SBOM). Las firmas digitales ayudan a garantizar que el software no haya sido modificado desde que se firmó, explicó Priya Wadhwa, ingeniera de software de Chainguard, un patrocinador de Sigstore.
"Son una de las primeras líneas de defensa para verificar la autenticidad del software y un componente esencial de una cadena de suministro de software segura", dijo.
Diseñado originalmente y prototipado en Red Hat y ahora bajo los auspicios de la Fundación Linux, el Sigstore de código abierto está destinado a facilitar la firma criptográfica.
"Como lo demuestran los numerosos ataques a la cadena de suministro en los últimos años, lamentablemente la cadena de suministro de software aún es vulnerable a la manipulación de varios vectores de amenazas diferentes", dijo Bob Callaway, director técnico y gerente del equipo de seguridad de fuente abierta de Google.
"Cuando se verifican correctamente", dijo, "las firmas digitales permiten a los consumidores de software tomar decisiones informadas sobre la procedencia de los artefactos y los metadatos".
Sigstore, que gestiona activamente...
Regístrese ahora para obtener su pase virtual gratuito para la Cumbre Low-Code/No-Code del 9 de noviembre. Escuche a los líderes de Service Now, Credit Karma, Stitch Fix, Appian y más. Obtenga más información.
La mayor parte del código en los artefactos de software modernos de hoy en día es de código abierto. Sin embargo, los controles de seguridad en torno a este código no son tan sofisticados ni tan generalizados como deberían ser. Por esta razón, se deben capturar firmas sólidas y verificables: brindan información sobre los componentes, sus autores y cualquier posible manipulación.
"No hornearías un pastel sin una certeza razonable de que los ingredientes que usaste eran puros", dijo Trevor Rosen, gerente de ingeniería de personal y líder de seguridad de paquetes en GitHub. "Pero eso es esencialmente lo que los autores de software que usan código abierto sin firma se ven obligados a hacer hoy: usar el ingrediente y esperar lo mejor".
Para impulsar una adopción más amplia de la firma de software y proteger aún más la cadena de suministro de software, la comunidad de Sigstore anunció hoy en SigstoreCon la disponibilidad general de su servicio de firma de software gratuito.
La herramienta está diseñada para mejorar la seguridad de la cadena de suministro al facilitar la firma, verificación y control del software que crean y usan los desarrolladores.
EventoVértice de código bajo/sin código
Únase a los principales líderes de hoy en Low-Code/No-Code Summit virtualmente el 9 de noviembre. Regístrese para obtener su pase gratis hoy.
registrarse aquíLas firmas son "tremendamente útiles" dentro de una cadena de suministro de software, donde el código y los artefactos se transmiten a lo largo de una cadena de sistemas, dijo Luke Hinds, fundador del proyecto y jefe de ingeniería de seguridad de software en Red Hat en la oficina del CTO.< / p>
"Con las firmas digitales, podemos garantizar que el software sea a prueba de manipulaciones y tengamos certeza de su fuente original", dijo.
Verificación adecuada para evitar violaciones de datosLos ataques a la cadena de suministro ahora representan una quinta parte de todas las filtraciones de datos y alcanzan un máximo histórico de 4,35 millones de dólares.
"Los problemas de seguridad de la cadena de suministro son generalizados, ya que la superficie de ataque es amplia, las ganancias en el éxito son enormes y el ecosistema actual tiene relativamente pocas defensas", dijo Rosen. .
Por eso es tan importante firmar digitalmente los diversos artefactos que componen las aplicaciones, desde archivos binarios y contenedores hasta archivos agregados y listas de materiales de software (SBOM). Las firmas digitales ayudan a garantizar que el software no haya sido modificado desde que se firmó, explicó Priya Wadhwa, ingeniera de software de Chainguard, un patrocinador de Sigstore.
"Son una de las primeras líneas de defensa para verificar la autenticidad del software y un componente esencial de una cadena de suministro de software segura", dijo.
Diseñado originalmente y prototipado en Red Hat y ahora bajo los auspicios de la Fundación Linux, el Sigstore de código abierto está destinado a facilitar la firma criptográfica.
"Como lo demuestran los numerosos ataques a la cadena de suministro en los últimos años, lamentablemente la cadena de suministro de software aún es vulnerable a la manipulación de varios vectores de amenazas diferentes", dijo Bob Callaway, director técnico y gerente del equipo de seguridad de fuente abierta de Google.
"Cuando se verifican correctamente", dijo, "las firmas digitales permiten a los consumidores de software tomar decisiones informadas sobre la procedencia de los artefactos y los metadatos".
Sigstore, que gestiona activamente...
What's Your Reaction?
