Let’s Encrypt è una piattaforma che, come sapete, consente di ottenere un certificato digitale DV (Domain Validated) gratuito da utilizzare per qualunque tipo di sito web: HTTPS, come funziona e cosa c’è da sapere. Ne abbiamo parlato in numerosi nostri articoli e con il componente Certbot è addirittura possibile automatizzare la richiesta, l’emissione e il rinnovo dei certificati.
Adesso The Linux Foundation, Red Hat, Google e Purdue hanno presentato il servizio gratuito sigstore, un po’ il Let’s Encrypt pensato per gli sviluppatori.
Si tratta infatti di un servizio che permette agli sviluppatori di firmare il codice e verificare l’integrità e la provenienza delle applicazioni e dei componenti opensource al fine ad esempio di evitare attacchi che mirano a sostituire elementi dannosi a quelli originali.
Nell’ultimo periodo si sono susseguiti diversi attacchi che hanno preso di mira il noto gestore di pacchetti NPM. Un esempio è quello descritto nell’articolo Un ricercatore spiega come è riuscito a far breccia nelle reti di 35 famose aziende.
Queste aggressioni prendono solitamente di mira la cosiddetta supply-chain ovvero la catena distributiva del software. Utilizzando nomi di pacchetti sviluppati internamente dalle varie aziende o pubblicando sui repository componenti che imitano la denominazione di pacchetti noti di norma si può verificare l’esecuzione di codice malevolo sui sistemi degli utenti.
Per prevenire questi tipi di attacchi sigstore offre un servizio di firma del software che permette agli sviluppatori di attestare l’autenticità e la provenienza dei vari sorgenti.
Nella nota pubblicata da Google l’azienda evidenzia che sigstore ha l’ulteriore vantaggio di essere supportato da log pubblici: tutti i certificati e gli attestati sono visibili da parte di chiunque e immediatamente verificabili.