Kubernetes anunció que comenzará a incluir certificados firmados criptográficamente con el fin de agregar una capa de protección adicional contra los ataques de cadena de suministro. Esto será posible gracias al proyecto Sigstore, lanzado en 2021 por Linux Foundation, Google, Red Hat y Purdue University y estará disponible en la versión 1.24 de Kubernetes y en versiones futuras.
Dan Lorenc, desarrollador de Sigstore, menciona que el uso de estos certificados permitirá a los usuarios de Kubernetes verificar la autenticidad e integridad de las distribuciones en uso, facilitando el proceso de verificación de firmas y brindando mayor confianza en los binarios, paquetes de código fuente e imágenes de contenedores.
Sigstore fue anunciado en marzo de 2021 por Linux Foundation e incluso es usado por el proyecto de seguridad de cadena de suministro Alpha-Omega, en el que colaboran Microsoft y Google. En 2021, Google también anunció el lanzamiento de Cosign, que simplificará la firma y verificación de imágenes de contenedores y la creación de subsistemas para el registro de metadatos firmados.
Los planes de Kubernetes son parte de su marco de trabajo Supply Chain Levels for Software Artifacts (SLSA), que tiene como fin la protección de su cadena de suministro de software configurado en tres niveles en conjunto con Google, Intel, Linux Foundation y otros desarrolladores. La versión de Kubernetes 1.23 logró el cumplimiento de SLSA Nivel 1.
Lorenc agrega que la adopción de Sigstore por parte de Kubernetes es un gran avance para el proyecto que actualmente cuenta con alrededor de 5.6 millones de usuarios. Sigstore también se acerca a los desarrolladores de Python con una nueva herramienta para firmar paquetes de Python, así como repositorios de paquetes como Maven Central y RubyGems.
Kubernetes atraerá más atención al proyecto, lo que podría tener un impacto considerable en toda la cadena de suministro. Estos esfuerzos coinciden con nuevos proyectos como el nuevo Package Analysis Project, una iniciativa de Google y Open Source Security Foundation (OpenSSF) de Linux Foundation para la identificación de paquetes maliciosos para lenguajes populares como Python y JavaScript.
Los actores de amenazas suelen cargar paquetes maliciosos en repositorios legítimos a pesar del monitoreo constante, lo que se ha convertido en uno de los principales vectores de ataque de cadena de suministro, con consecuencias muy desagradables para los usuarios.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.