El proyecto Kubernetes da un paso adelante para proteger a los usuarios de los ataques de la cadena de suministro a sus usuarios.
El orquestador de contenedores Kubernetes ahora incluirá certificados firmados criptográficamente, utilizando el proyecto Sigstore creado el año pasado por la Fundación Linux, Google, Red Hat y la Universidad de Purdue en un intento por proteger contra los ataques a la cadena de suministro.Los certificados de Sigstore se utilizan en la versión 1.24 de Kubernetes recién lanzada y en todas las versiones futuras.
Según el desarrollador fundador de Sigstore, Dan Lorenc , exmiembro del equipo de seguridad de fuente abierta de Google, el uso de certificados de Sigstore permite a los usuarios de Kubernetes verificar la autenticidad e integridad de la distribución que están utilizando "dando a los usuarios la capacidad de verificar firmas y tener una mayor confianza en el origen de todos y cada uno de los binarios, paquetes de código fuente e imágenes de contenedores implementados de Kubernetes".Es un paso adelante para el desarrollo de software de código abierto en la batalla contra los ataques a la cadena de suministro de software .
La Fundación Linux anunció el proyecto Sigstore en marzo de 2021 . El nuevo proyecto de seguridad de la cadena de suministro de código abierto Alpha-Omega, respaldado por Google y Microsoft , también utiliza certificados de Sigstore. El equipo de seguridad de código abierto de Google anunció el proyecto Cosign relacionado con Sigstore en mayo de 2021 para simplificar la firma y la verificación de imágenes de contenedores, así como el libro mayor "resistente a la manipulación" de Rekor, que permite a los mantenedores de software y crear sistemas registrar metadatos firmados en un "registro inmutable".
Según Lorenc, la adopción de Sigstore por parte del equipo de lanzamiento de Kubernetes es parte de su trabajo en los niveles de la cadena de suministro para artefactos de software, o SLSA , un marco desarrollado por Google para proteger internamente su cadena de suministro de software que ahora es una especificación de 3 niveles que está configurando Google. , Intel, la Fundación Linux y otros. Kubernetes 1.23 logró el cumplimiento de SLSA Nivel 1 en la versión 1.23 ."Sigstore fue un proyecto clave para lograr el estado de nivel 2 de SLSA y obtener una ventaja inicial para lograr el cumplimiento de nivel 3 de SLSA, que la comunidad de Kubernetes espera alcanzar este agosto", dice Lorenc.
Lorenc le dice a ZDNet que la adopción de Sigstore por parte de Kubernetes es un gran paso adelante para el proyecto porque tiene alrededor de 5,6 millones de usuarios. El proyecto Sigstore también se acerca a los desarrolladores de Python con una nueva herramienta para firmar paquetes de Python , así como repositorios de paquetes importantes como Maven Central y RubyGems.
Kubernetes sirve como puntos focales críticos para ayudar a llamar la atención, requiere una gran cantidad de trabajo y tiene un impacto enorme en toda la cadena de suministro, dice. Estos esfuerzos coinciden con nuevos proyectos como el nuevo Package Analysis Project , una iniciativa de Google y Open Source Security Foundation (OpenSSF) de Linux Foundation para identificar paquetes maliciosos para lenguajes populares como Python y JavaScript.
Paquetes maliciosos como se cargan regularmente en repositorios populares a pesar de sus mejores esfuerzos, a veces con consecuencias devastadoras para los usuarios, según Google.
Fuente: zdnet | somoslibres
