Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonSigstore : racines de confiance pour les artefacts logiciels
Par Dan Lorenc, InfoWorld |
Les technologies émergentes décortiquées par des technologues
Parmi les quelque cinq milliards de personnes qui utilisent Internet, seule une infime fraction connaît le fonctionnement de Transport Layer Security (TLS), des certificats numériques ou des clés publiques. Dites ce que vous voulez sur les risques de sécurité auxquels les utilisateurs sont encore confrontés sur Internet aujourd'hui, mais il est assez remarquable de voir à quel point ces protocoles constitutifs de la confiance entre les sites Web et les visiteurs du site ont géré l'ampleur massive d'Internet au cours des 20 dernières années.
En revanche, le concept de sécurité de la chaîne d’approvisionnement logicielle est encore relativement nouveau. Les gros titres sur SolarWinds et Log4j ont créé une certaine prise de conscience des portes dérobées créées lorsque les développeurs utilisent des artefacts logiciels de provenance inconnue. Mais comment pouvons-nous utiliser ces mêmes principes de base sur le fonctionnement de la confiance sur Internet et les appliquer pour établir la confiance entre les artefacts logiciels et les millions de développeurs qui les utilisent ? La plupart des développeurs de logiciels en sont encore aux premiers stades de leur tentative de comprendre cela.
Récemment, j'ai entendu Vint Cerf discuter des parallèles entre les premières infrastructures à clé publique (PKI) du Web et l'écosystème émergent de signature d'artefacts et de signature open source. Ce qui m'a frappé, c'est que même si une grande partie de la confiance sur Internet était motivée par des groupes influents comme le Certification Authority Browser Forum, qui ont galvanisé l'utilisation de ces protocoles en les intégrant dans les navigateurs et les systèmes d'exploitation. En matière de sécurité de la chaîne d'approvisionnement logicielle, aucun groupe équivalent n'est à l'origine de ce projet. Nous le faisons tous fonctionner de manière communautaire ouverte et sur la base de projets open source.
Si vous souhaitez vous repérer sur l'évolution de ce domaine de sécurité émergent, il n'existe aucun projet open source avec plus de dynamisme ou de fusion industrielle que Sigstore, le projet canonique de signature d'artefacts de la chaîne d'approvisionnement logicielle. Jetons un coup d'œil à certains principes et primitives de Sigstore, afin que vous compreniez ce qu'il y a sous le capot la prochaine fois que vous verrez que votre gestionnaire de paquets ou votre système de build utilise le sceau d'approbation de cire de Sigstore.
L'infrastructure PKI du Web a été conçue de manière à ce que toute autorité de certification (CA) Web soit fiable pour émettre des certificats pour n'importe quel domaine sur Internet. Contrôler ces certificats contre les abus (par exemple, une autorité de certification émettant un certificat pour un domaine qu'elle ne contrôle pas, comme le site Web de votre banque) est ce qu'on appelle le cadre de transparence des certificats. Il s'agit d'un cadre de blockchain ouvert qui fournit un grand livre public « en annexe uniquement ».
Les journaux de transparence sont essentiels car ils donnent aux développeurs et aux équipes de sécurité la possibilité de vérifier que tous les certificats émis pour le nom de domaine d'une entreprise sont correctement émis. Cela vous aide à détecter si quelqu'un se fait passer pour votre entreprise et usurpe votre trafic. L’objectif des journaux de transparence est de consigner ces erreurs afin que vous puissiez les retrouver plus tard, les récupérer et atténuer les mauvaises choses.
Sigstore est un framework open source qui s'est inspiré du framework Certificate Transparency (ainsi que du framework TLS populaire, Let's Encrypt) pour résoudre efficacement les défis très similaires qui existent pour l'intégrité des artefacts logiciels dans la sécurité de la chaîne d'approvisionnement. Lorsque nous téléchargeons un artefact logiciel, comment savoir par qui il a été créé et s'il s'agit bien du même artefact (et non d'un imposteur malveillant) que nous téléchargeons ? Sigstore résout ce problème en permettant aux développeurs de signer en toute sécurité des artefacts logiciels tels que des fichiers de version, des images de conteneurs, des binaires, des SBOM (factures logicielles), etc. Les documents signés sont ensuite stockés dans un journal de transparence publique inviolable.
Il existe trois primitives clés qui pilotent Sigstore. Vous avez besoin des trois ensemble pour construire l'ensemble du puzzle Sigstore, mais ils servent à des fins différentes et indépendantes :