La Fundación Linux, junto con Red Hat, Google y la Universidad de Purdue (que tiene su campus principal en Indiana, Estados Unidos) han creado el proyecto sigstore o “sigstore project” que quiere ofrecer protección de la cadena de suministro. No olvidemos que el super ataque informático que sufrió SolarWinds a finales de 2020 consiguió aterrizar en muchas empresas e instituciones públicas del mundo tras conseguir intervenir su cadena de suministro.
Es decir, los atacantes comprometieron la seguridad de un tercero, en ese caso SolarWinds, y consiguieron, con ello, infiltrarse en compañías y entidades públicas que usan sus servicios, como Microsoft, la NASA o Cisco (y casi todas las compañías que integran la lista de Fortune 500). Y, sobre esta base, Linux y sus socios han trabajado en un nuevo servicio de software presentado ahora.

Funcionamiento de sigstore

Sobre este planteamiento acerca de la situación de SolarWinds, sigstore pretende mejorar la seguridad de la cadena de suministro de un software permitiendo a los desarrolladores firmar de forma segura programas de software, archivos, imágenes de contenedores y demás. Este servicio será gratuito para todos los desarrolladores y proveedores de software.

Eso sí, cabe decir que el código de sigstore y las herramientas que se utilizarán para que esto funcione aún están siendo desarrolladas por la comunidad.

Este sigstore utiliza el protocolo de autenticación OpenID que vinculan certificados con identidades. "Entendemos que la gestión de claves a largo plazo es difícil, por lo que hemos adoptado …