GitHub ha anunciado la disponibilidad general de Artifact Attestations, una nueva funcionalidad destinada a mejorar la seguridad en la cadena de suministro de software. Con más de 100 millones de desarrolladores utilizando GitHub, la compañía busca proporcionar herramientas que protejan la integridad del software desde su código fuente hasta su distribución final.
Artifact Attestations permite a los mantenedores de proyectos crear de manera sencilla un rastro de auditoría inalterable y verificable que vincula el software con sus instrucciones de construcción y código fuente. Los consumidores del metadato generado pueden utilizarlo para realizar nuevas comprobaciones de seguridad y validación mediante herramientas como Rego y Cue. Inicialmente, la verificación se realiza a través de GitHub CLI, pero se planea extender esta verificación al ecosistema de Kubernetes más adelante este año.
La funcionalidad se basa en Sigstore, un proyecto de código abierto que se encarga de la firma y verificación de artefactos de software. Esto permite a los mantenedores de proyectos de código abierto reducir su exposición a ataques en la cadena de suministro y mejorar la seguridad del ecosistema de software en general, independientemente de dónde se almacene el código o se construyan los artefactos.
La experiencia de usuario de Artifact Attestations ha sido diseñada para ser lo más sencilla posible, requiriendo únicamente la adición de un poco de YAML al flujo de trabajo de GitHub Actions y la instalación de GitHub CLI para la verificación.
La nueva herramienta es especialmente útil para la creación de un SBOM (Software Bill of Materials), que es esencial para la transparencia y seguridad del software. La acción de attest-sbom permite asociar un SBOM generado con un artefacto final, firmándolo y enviándolo a la tienda de atestaciones.
Artifact Attestations simplifica la complejidad de gestionar infraestructuras de claves públicas (PKI) al confiar en la seguridad de la cuenta de GitHub del usuario. La herramienta crea un documento firmado con un par de claves temporales, donde la clave pública se asocia a un certificado emitido por una identidad de trabajo del sistema de construcción.
GitHub ha establecido su propia autoridad de certificación raíz para permitir la firma de artefactos en GitHub Actions y su verificación en cualquier lugar, incluso sin conexión. Esto elimina la necesidad de gestionar infraestructura PKI o de manejar secretos que pueden ser filtrados o perdidos.
La nueva funcionalidad está diseñada para operar tanto en repositorios públicos como privados. En repositorios públicos, las atestaciones se escribirán en la instancia pública de Sigstore, mientras que en repositorios privados, las atestaciones se almacenarán en una base de datos interna de GitHub, garantizando la privacidad de la información.
Provenance por sí misma no garantiza la seguridad de los artefactos o del proceso de construcción, pero sí proporciona una garantía a prueba de manipulaciones de que el artefacto ejecutado es el mismo que fue construido, lo que puede prevenir muchos vectores de ataque. La funcionalidad crea un rastro de auditoría inalterable, vinculando un artefacto con un flujo de trabajo de GitHub Actions específico.
GitHub sigue comprometido en ofrecer altos estándares de seguridad tanto para clientes empresariales como para la comunidad de código abierto. Artifact Attestations es apenas el comienzo, con futuras mejoras planificadas para incluir soporte para Kubernetes y tipos de artefactos adicionales.
Para aquellos interesados en aprender más sobre cómo GitHub puede simplificar el proceso de envío de código seguro, la compañía invita a asistir a GitHub Universe 2024, donde se explorarán investigaciones y prácticas recomendadas en seguridad centrada en el desarrollador.
GitHub ha demostrado una vez más su compromiso con la democratización de la integridad de los artefactos y la seguridad en la cadena de suministro de software, facilitando que desarrolladores y organizaciones mantengan sus proyectos seguros con herramientas conocidas y accesibles.
vía: GitHub Security