GitHub ha dado un paso significativo en la mejora de la seguridad en la cadena de suministro de software al anunciar la disponibilidad general de Artifact Attestations, una nueva funcionalidad diseñada para preservar la integridad del software desde su código fuente hasta su distribución final. Esta herramienta, utilizada por más de 100 millones de desarrolladores, busca proporcionar una solución eficaz y verificable.
Artifact Attestations ofrece a los mantenedores de proyectos la capacidad de crear un registro de auditoría inalterable y verificable que vincula el software con sus instrucciones de construcción y código fuente. Este metadato generado facilita la realización de comprobaciones de seguridad y validaciones adicionales mediante herramientas como Rego y Cue, siendo inicialmente verificable a través de GitHub CLI. Se espera que, más adelante este año, esta verificación se extienda al ecosistema de Kubernetes.
El funcionamiento de esta herramienta se basa en Sigstore, un proyecto de código abierto encargado de la firma y verificación de artefactos de software. Gracias a más de Sigstore, los proyectos de código abierto pueden reducir su exposición a ataques y mejorar la seguridad en todo el ecosistema del software, independientemente de dónde se almacene el código o se construyan los artefactos.
La interfaz de Artifact Attestations ha sido diseñada para ser intuitiva, requiriendo solo la implementación de un breve segmento de YAML en el flujo de trabajo de GitHub Actions, además de la instalación de GitHub CLI para la verificación. Esta funcionalidad es crucial para la creación de un SBOM (Software Bill of Materials), fundamental para garantizar la transparencia y la seguridad del software. Con la acción de attest-sbom, se puede asociar un SBOM generado con un artefacto final, firmándolo y enviándolo a la tienda de atestaciones.
La herramienta simplifica la gestión de infraestructuras de claves públicas (PKI) gracias a la seguridad que ofrece la cuenta de GitHub del usuario. Se crea un documento firmado con un par de claves temporales, cuya clave pública se asocia a un certificado emitido por una identidad de trabajo del sistema de construcción. Además, GitHub ha establecido su propia autoridad de certificación raíz para permitir la firma y verificación de artefactos, incluso sin conexión, eliminando la necesidad de gestionar infraestructuras PKI o manejar secretos.
Artifact Attestations está diseñada para operar en repositorios tanto públicos como privados. En los repositorios públicos, las atestaciones se almacenan en la instancia pública de Sigstore, mientras que en los privados, se guardan en una base de datos interna de GitHub, garantizando la privacidad de la información. Aunque la procedencia por sí misma no garantiza la seguridad de los artefactos o del proceso de construcción, sí proporciona una garantía a prueba de manipulaciones de que el artefacto ejecutado es el mismo que fue construido, previniendo varios vectores de ataque.
Con esta nueva funcionalidad, GitHub reafirma su compromiso con altos estándares de seguridad tanto para clientes empresariales como para la comunidad de código abierto. Artifact Attestations es solo el comienzo, con futuras mejoras que incluirán soporte para Kubernetes y tipos de artefactos adicionales.
Para aquellos interesados en profundizar sobre cómo GitHub puede simplificar el proceso de envío de código seguro, la compañía invita a asistir a GitHub Universe 2024, un espacio para explorar investigaciones y prácticas recomendadas en seguridad centrada en el desarrollador. Con esta iniciativa, GitHub avanza en la democratización de la integridad de los artefactos y la seguridad en la cadena de suministro de software.
