O projeto Kubernetes dá um passo à proteção dos usuários contra ataques da cadeia de suprimentos contra seus usuários.

O orquestrador de contêineres Kubernetes agora incluirá certificados assinados criptograficamente, usando o projeto Sigstore no ano passado pela Linux Foundation, Google, Red Hat e Purdue University, em uma tentativa de proteção contra os contratos à cadeia de suprimentos.

Os certificados Sigstore estão sendo lançados na versão 1.24 do Kubernetes recém-lançados e em todos como futuros. 

De acordo com o fundador da Sigstore, Dan Lorenc  , ex-membro os da segurança do código aberto do Google, que os usuários de segurança de código aberto Sigstore permitem que os usuários do Kubernet distribuam um dispositivo de segurança e o uso da equipe de reconhecimento da distribuição que está usando "da equipe de segurança da distribuição aos usuários" Usuários a capacidade de verificar assinaturas e ter mais confiança na origem de cada binário Kubernet implanta, pacote de código-fonte e imagem de contêiner."

A Linux Foundation  anunciou o projeto Sigstore em março de 2021  . O novo projeto de segurança da cadeia de suprimentos de aberto Alpha-Omega, que é  apoiado pelo Google e pela Microsoft  , também usa códigos certificados Sigstore. A equipe de segurança de código aberto do Google anunciou o  projeto Cosign relacionado ao Sigstore em maio de 2021  para simplificar a assinatura e a verificação de imagens de contêiner, bem como o registro  'inviolável'  Rekor  , que permite que os mantenedores de software crim sistemas para registrador assinados em um "registro imutável" ". 

De acordo com Lorenc, a adoção do Sigstore pela equipe de lançamento do Kubernetes é parte de seu trabalho em Níveis de Cadeia de Suprimentos para Artefatos de Software, ou  SLSA   – uma estrutura  desenvolvida pelo Google  para proteger internamente sua cadeia de suprimentos de software que agora é uma especificação de três níveis sendo moldada pelo Google, Intel,  Linux Foundation  e outros. O Kubernetes 1.23  atingiu a conformidade com SLSA Nível 1 na versão 1.23  . 

"O Sigstore foi um projeto fundamental para alcançar o status de nível 2 do SLSA e obter um avanço para alcançar a conformidade com o nível 3 do SLSA, que a comunidade do Kubernet em agosto", diz Lorenc. 

Lorenc disse ao ZDNet que a adoção do Sigstore pelo Kubernetes é um grande passo em frente para o projeto, porque tem cerca de 5,6 milhões de usuários. O projeto Sigstore dos desenvolvedores Python com uma  nova ferramenta para designar Python  , bem como também vários pacotes aproximados de pacotes como Maven Central e RubyGems. 

O Kubernetes serve como pontos focais críticos para ajudar a chamar a atenção, grande quantidade de trabalho e tem um impacto enorme em toda a cadeia de suprimentos, diz ele. 

Esses exercícios coincidem com novos projetos, como o  novo Package Analysis Project  , uma iniciativa do Google e da Open Source Security Foundation (OpenSSF) da Linux Foundation para identificar pacotes maliciosos para linguagens populares como Python JavaScript. 

Pacotes maliciosos são configurados para acordos populares apesar dos melhores programas, com medidas devastadoras para os usuários  de acordos com o Google  .

Fonte: Zdnet