Visão Geral

Este curso aborda uma das maiores preocupações de segurança cibernética da atualidade: a segurança da cadeia de suprimentos de software. Do ponto de vista técnico, os participantes irão aprofundar-se no que é a cadeia de suprimentos de software, os tipos de ataques mais comuns e como a iniciativa Sigstore oferece uma solução aberta e gratuita para mitigar esses riscos. O curso detalhará os componentes do Sigstore — Cosign para assinatura de artefatos, Fulcio como uma CA de curto prazo e Rekor como um livro-razão de transparência imutável — e demonstrará como usar essas ferramentas para assinar e verificar a proveniência e a integridade de artefatos de software, como imagens de contêineres, binários e pacotes. Será explorada a integração do Sigstore em pipelines de CI/CD para automatizar a segurança. a segurança da cadeia de suprimentos de software é um imperativo regulatório e de negócio. Ataques a essa cadeia podem ter consequências devastadoras, incluindo perdas financeiras massivas, danos à reputação e violações de dados sensíveis. Ao implementar o Sigstore, as organizações podem demonstrar conformidade com padrões de segurança crescentes (e.g., ordens executivas governamentais), reduzir significativamente o risco de comprometimento de seus produtos de software e aumentar a confiança de seus clientes e parceiros. Este curso capacita equipes a construir e entregar software com um nível de confiança e transparência sem precedentes, agregando valor competitivo e robustez à estratégia de segurança da empresa.

Objetivo

Após realizar este Securing Your Software Supply Chain with Sigstore, você será capaz de:

• Compreender os conceitos e ameaças associadas à segurança da cadeia de suprimentos de software.
• Entender a arquitetura e os componentes chave da iniciativa Sigstore (Cosign, Fulcio, Rekor).
• Assinar digitalmente imagens de contêineres, binários e outros artefatos de software usando Cosign.
• Verificar a integridade e a proveniência de artefatos de software assinados com Sigstore.
• Integrar o Sigstore em pipelines de Integração Contínua/Entrega Contínua (CI/CD) para automação.
• Utilizar os livros-razão de transparência (Rekor) para auditabilidade e confiança.
• Implementar políticas de segurança que garantem a execução apenas de software confiável e assinado.
• Avaliar a relevância e os benefícios do Sigstore para a estratégia de segurança da sua organização.

Publico Alvo

• Desenvolvedores de Software e Engenheiros de DevOps/SRE: Que constroem e entregam software e precisam garantir a integridade e proveniência dos seus artefatos.
• Engenheiros de Segurança Cibernética: Responsáveis por implementar e auditar controles de segurança na SDLC (Software Development Life Cycle).
• Arquitetos de Soluções: Que projetam sistemas e pipelines de entrega de software seguros.
• Líderes Técnicos e Gerentes de Projeto: Que precisam entender os riscos da cadeia de suprimentos de software e as soluções disponíveis.
• Qualquer profissional de TI: Interessado em segurança de software e tecnologias emergentes de proveniência.

Pre-Requisitos

• Conhecimento básico de desenvolvimento de software e ciclo de vida de desenvolvimento (SDLC).
• Familiaridade com conceitos de linha de comando (terminal).
• Entendimento básico de sistemas de controle de versão (Git).
• Noções de contêineres (Docker) e orquestração (Kubernetes) são úteis, mas não obrigatórias.
• Conhecimento básico de princípios de segurança cibernética (criptografia, assinaturas digitais).

Materiais

Conteúdo Programatico

Módulo I: Fundamentos da Segurança da Cadeia de Suprimentos de Software (4 horas)

• 1.1. Compreendendo a Cadeia de Suprimentos de Software (1.5h)
  • Definição e componentes: desde o código-fonte até a produção.
  • Tipos de artefatos de software: imagens, binários, pacotes, SBOMs.
  • Ameaças e ataques na cadeia de suprimentos (e.g., SolarWinds, Log4Shell, Typosquatting, comprometimento de repositórios).
  • A importância da proveniência, integridade e autenticidade.
• 1.2. Desafios Atuais e Frameworks de Segurança (1.5h)
  • Aumento da complexidade e dependências de terceiros.
  • Pressões regulatórias e padrões da indústria (e.g., NIST SSDF, SLSA, US Executive Order 14028).
  • Conceitos de "Trust but Verify" e "Zero Trust" aplicados à cadeia de suprimentos.
• 1.3. Introdução ao Sigstore: Uma Abordagem Aberta (1h)
  • O que é Sigstore: missão, componentes e filosofia.
  • Como Sigstore preenche lacunas na segurança da cadeia de suprimentos.
  • Visão geral de Cosign, Fulcio e Rekor.
  • Prática: Configuração do ambiente de desenvolvimento, instalação do Cosign.

Módulo II: Assinando e Verificando Artefatos com Cosign e Fulcio (4 horas)

• 2.1. Assinatura de Imagens de Contêineres com Cosign (2h)
  • Geração de chaves efêmeras e gerenciamento de chaves.
  • Assinando imagens de contêineres e publicando assinaturas.
  • Verificação de assinaturas e políticas de confiança (cosign verify).
  • Prática: Assinar e verificar uma imagem Docker customizada.
• 2.2. Assinatura de Binários e Pacotes (1h)
  • Assinando binários, scripts e outros tipos de artefatos.
  • O papel do Sigstore para pacotes de software (e.g., npm, pip).
  • Prática: Assinar um binário executável simples.
• 2.3. Fulcio: A CA de Assinatura Sem Chaves (1h)
  • Como Fulcio elimina a necessidade de gerenciar chaves de longo prazo.
  • Autenticação com OpenID Connect (OIDC) e certificados de curta duração.
  • Fluxo de trabalho de assinatura sem chaves com Cosign e Fulcio.
  • Prática: Assinar um artefato usando o fluxo de autenticação OIDC via Fulcio.

Módulo III: Transparência e Auditabilidade com Rekor (4 horas)

• 3.1. Rekor: O Livro-Razão de Transparência de Assinaturas (2h)
  • Conceito de livro-razão criptográfico e sua importância para a transparência.
  • Como Rekor registra metadados de assinaturas de forma imutável e verificável.
  • Consultando entradas no Rekor (rekor-cli).
  • Prática: Consultar entradas Rekor para assinaturas criadas anteriormente, entender os metadados.
• 3.2. Verificação de Integridade e Inclusão no Rekor (1.5h)
  • Garantindo que uma assinatura foi publicada no Rekor.
  • O conceito de prova de inclusão (inclusion proof).
  • Benefícios da transparência para a detecção de adulterações.
  • Prática: Usar cosign verify --rekor-public-key e entender a verificação Rekor.
• 3.3. Políticas de Confiança e Integração com Registries (0.5h)
  • Como usar o Connaisseur ou outras ferramentas para impor políticas de imagem em Kubernetes baseadas em assinaturas.
  • Prática: Breve introdução a como uma política pode ser aplicada.

Módulo IV: Integração CI/CD e Operacionalização do Sigstore (4 horas)

• 4.1. Integrando Sigstore em Pipelines de CI/CD (2h)
  • Automação da assinatura de artefatos em pipelines (e.g., GitHub Actions, GitLab CI/CD, Jenkins).
  • Gerenciamento de segredos para autenticação (se necessário).
  • Melhores práticas para o workflow de segurança na CI/CD.
  • Prática: Configurar um pipeline de CI/CD para construir, assinar e verificar uma imagem de contêiner.
• 4.2. Aplicação de Políticas de Segurança (1.5h)
  • Enforcement de políticas em Kubernetes: garantir que apenas imagens assinadas e confiáveis possam ser implantadas.
  • Uso de Admission Controllers (como Kyverno ou Gatekeeper) com Cosign.
  • Monitoramento e auditoria de assinaturas e eventos de verificação.
  • Prática: Configurar uma política de Kubernetes para bloquear implantações de imagens não assinadas.
• 4.3. Ecossistema Sigstore e Próximos Passos (0.5h)
  • Estado atual do Sigstore e seu futuro.
  • Outras ferramentas e projetos no ecossistema de segurança da cadeia de suprimentos (SBOMs, SLSA).
  • Discussão sobre a adoção da indústria e o impacto nos processos de desenvolvimento.