Sigstore que cuenta con el respaldo de Google, Red Hat, GitHub y otras organizaciones destacadas con el objetivo de asegurar que la cadena de suministro de software de código abierto haya alcanzado la disponibilidad general y haya emitido las versiones”v1.0″para sus componentes clave de software.
Esta semana, Sigstore celebró su hito de disponibilidad general y lanzó el software v1.0 de su registro de transparencia Rekor y el software de autoridad certificadora Fulcio. Sigstore ahora se considera de grado de producción para la firma y verificación de artefactos de software.
Sigstore proporciona los medios para firmar código fácilmente y con respaldo criptográfico, verificar firmas mediante un registro de transparencia y monitorear la actividad para examinar de forma segura la cadena de suministro de software. En el sitio del proyecto de sigstore.dev, Sigstore se describe a sí mismo como:
sigstore es un conjunto de herramientas para desarrolladores, software los mantenedores, los administradores de paquetes y los expertos en seguridad pueden beneficiarse. Al reunir tecnologías de código abierto de uso gratuito como Fulcio, Cosign y Rekor, maneja la firma digital, la verificación y las comprobaciones de procedencia necesarias para que sea más seguro distribuir y usar software de código abierto.
Un enfoque estandarizado
Esto significa que el software de código abierto cargado para su distribución tiene una forma más estricta y estandarizada de verificar quién ha estado involucrado, que no ha sido manipulado. No hay riesgo de compromiso de clave, por lo que terceros no pueden secuestrar una versión e introducir algo malicioso.
Aquellos que deseen obtener más información sobre la disponibilidad general de Sigstore esta semana pueden leer más información al respecto. en el Blog de código abierto de Google y Blog de Sigstore.
