Firma de paquetes
¿Qué es Firma de paquetes?
Firma de paquetesAplicación de una firma criptográfica a un paquete de software para que los consumidores verifiquen la identidad del publicador y que el artefacto no se ha alterado tras su publicación.
La firma de paquetes vincula un artefacto (binario, biblioteca, imagen de contenedor, paquete del SO, módulo de lenguaje) con la identidad criptográfica del publicador. Los verificadores comparan la firma con la clave esperada, certificado o entrada en un log de transparencia antes de instalar o ejecutar el paquete. Ecosistemas habituales son Sigstore Cosign para imágenes OCI y paquetes de lenguaje, los paquetes Linux firmados con GPG, Authenticode en Windows, codesign en macOS/iOS y Maven Central con PGP. La práctica moderna prefiere claves efímeras e identidades OIDC (Sigstore) frente a claves largas offline, junto con logs de transparencia (Rekor) para auditoría pública. La firma es complementaria a SBOM, procedencia SLSA y builds reproducibles: responde a "quién publicó esto y está intacto?" mientras los otros responden a "qué contiene y cómo se hizo?".
● Ejemplos
- 01
Firmar los binarios de release con Sigstore Cosign y publicar la firma en Rekor.
- 02
Verificar las firmas de paquetes Debian a través de apt y la clave GPG de la distribución.
● Preguntas frecuentes
¿Qué es Firma de paquetes?
Aplicación de una firma criptográfica a un paquete de software para que los consumidores verifiquen la identidad del publicador y que el artefacto no se ha alterado tras su publicación. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Firma de paquetes?
Aplicación de una firma criptográfica a un paquete de software para que los consumidores verifiquen la identidad del publicador y que el artefacto no se ha alterado tras su publicación.
¿Cómo funciona Firma de paquetes?
La firma de paquetes vincula un artefacto (binario, biblioteca, imagen de contenedor, paquete del SO, módulo de lenguaje) con la identidad criptográfica del publicador. Los verificadores comparan la firma con la clave esperada, certificado o entrada en un log de transparencia antes de instalar o ejecutar el paquete. Ecosistemas habituales son Sigstore Cosign para imágenes OCI y paquetes de lenguaje, los paquetes Linux firmados con GPG, Authenticode en Windows, codesign en macOS/iOS y Maven Central con PGP. La práctica moderna prefiere claves efímeras e identidades OIDC (Sigstore) frente a claves largas offline, junto con logs de transparencia (Rekor) para auditoría pública. La firma es complementaria a SBOM, procedencia SLSA y builds reproducibles: responde a "quién publicó esto y está intacto?" mientras los otros responden a "qué contiene y cómo se hizo?".
¿Cómo defenderse de Firma de paquetes?
Las defensas contra Firma de paquetes combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Firma de paquetes?
Nombres alternativos comunes: Firma de código, Firma de artefactos.
● Términos relacionados
- appsec№ 226
Cosign
CLI open source del proyecto Sigstore para firmar, verificar y atestiguar artefactos OCI y otro software, usando flujos con o sin claves de larga duración.
- appsec№ 1044
Sigstore
Proyecto open source de la Linux Foundation que facilita firmar, verificar y proteger artefactos de software combinando claves efímeras, identidades OIDC y un registro de transparencia.
- appsec№ 1069
Seguridad de la cadena de suministro de software
Disciplina que protege cada eslabón de la producción de software —fuente, dependencias, build, firma, distribución y despliegue— frente a manipulación, código malicioso y pérdida de integridad.
- appsec№ 870
Atestación de procedencia
Declaración firmada y verificable por máquina que describe cómo se produjo un artefacto de software —fuente, sistema de build, parámetros y dependencias— para que los consumidores confíen en su origen.
- cryptography№ 321
Firma digital
Mecanismo criptográfico de clave pública que demuestra la autenticidad, integridad y no repudio de un mensaje o documento.
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts: conjunto escalonado de requisitos publicado por OpenSSF que endurece progresivamente la forma de construir, firmar y verificar software frente a manipulaciones de la cadena de suministro.