Assinatura de pacotes
O que é Assinatura de pacotes?
Assinatura de pacotesAplicação de uma assinatura criptográfica a um pacote de software para que os consumidores verifiquem a identidade do publicador e que o artefacto não foi alterado após a publicação.
A assinatura de pacotes liga um artefacto (binário, biblioteca, imagem de contentor, pacote do SO, módulo de linguagem) à identidade criptográfica de quem o publica. Os verificadores comparam a assinatura à chave, ao certificado ou ao registo de transparência esperado antes de instalar ou executar o pacote. Ecossistemas comuns incluem o Sigstore Cosign para imagens OCI e pacotes de linguagem, pacotes Linux assinados com GPG, Authenticode no Windows, codesign no macOS/iOS e Maven Central com PGP. A prática moderna prefere chaves efémeras e identidades OIDC (Sigstore) em vez de chaves offline de longa duração, mais registos de transparência (Rekor) para auditoria pública. A assinatura é complementar ao SBOM, à proveniência SLSA e a builds reprodutíveis: responde a "quem publicou e está íntegro?", enquanto os outros respondem a "o que contém e como foi feito?".
● Exemplos
- 01
Assinar binários de release com Sigstore Cosign e publicar a assinatura no Rekor.
- 02
Verificar assinaturas de pacotes Debian via apt e a chave GPG da distribuição.
● Perguntas frequentes
O que é Assinatura de pacotes?
Aplicação de uma assinatura criptográfica a um pacote de software para que os consumidores verifiquem a identidade do publicador e que o artefacto não foi alterado após a publicação. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Assinatura de pacotes?
Aplicação de uma assinatura criptográfica a um pacote de software para que os consumidores verifiquem a identidade do publicador e que o artefacto não foi alterado após a publicação.
Como funciona Assinatura de pacotes?
A assinatura de pacotes liga um artefacto (binário, biblioteca, imagem de contentor, pacote do SO, módulo de linguagem) à identidade criptográfica de quem o publica. Os verificadores comparam a assinatura à chave, ao certificado ou ao registo de transparência esperado antes de instalar ou executar o pacote. Ecossistemas comuns incluem o Sigstore Cosign para imagens OCI e pacotes de linguagem, pacotes Linux assinados com GPG, Authenticode no Windows, codesign no macOS/iOS e Maven Central com PGP. A prática moderna prefere chaves efémeras e identidades OIDC (Sigstore) em vez de chaves offline de longa duração, mais registos de transparência (Rekor) para auditoria pública. A assinatura é complementar ao SBOM, à proveniência SLSA e a builds reprodutíveis: responde a "quem publicou e está íntegro?", enquanto os outros respondem a "o que contém e como foi feito?".
Como se defender contra Assinatura de pacotes?
As defesas contra Assinatura de pacotes costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Assinatura de pacotes?
Nomes alternativos comuns: Code signing, Assinatura de artefactos.
● Termos relacionados
- appsec№ 226
Cosign
CLI open source do projeto Sigstore para assinar, verificar e atestar artefactos OCI e outros softwares, em modo com ou sem chaves de longa duração.
- appsec№ 1044
Sigstore
Projeto open source da Linux Foundation que facilita assinar, verificar e proteger artefactos de software combinando chaves efémeras, identidades OIDC e um registo de transparência.
- appsec№ 1069
Segurança da cadeia de fornecimento de software
Disciplina que protege cada elo da produção de software - código-fonte, dependências, build, assinatura, distribuição e deploy - contra manipulação, código malicioso e perda de integridade.
- appsec№ 870
Atestação de proveniência
Declaração assinada e verificável por máquina que descreve como um artefacto de software foi produzido - fonte, sistema de build, parâmetros e dependências - para os consumidores confiarem na sua origem.
- cryptography№ 321
Assinatura digital
Mecanismo criptográfico de chave pública que comprova autenticidade, integridade e não-repúdio de uma mensagem ou documento.
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts: conjunto escalonado de requisitos publicado pelo OpenSSF que endurece progressivamente a forma como o software é construído, assinado e verificado contra manipulação da cadeia de fornecimento.