Skip to content

Interview Sigstore

Jump to bottom Edit New page
Emmanuel Bernard edited this page Nov 26, 2022 · 3 revisions

title: LCC 999 - Interview SigStore et sécurisation de la chaine logicielle avec Hervé Boutemy author: 'Emmanuel Bernard' team: 'Emmanuel Bernard, Guillaume Laforge, Vincent Massol, Antonio Goncalves, Arnaud Héritier, Audrey Neveu' layout: blog-post episode: 999 mp3_length: 85017000 tweet: TODO

tweet size: 91-93 -> 99-101

Résumé

TODO: comment ajouter une news

  • titre en français si possible

  • pas de bullet points mais ajouter deux espaces à la fin de la ligne (cela fait passer à la ligne)

    • bullet points autorisés si plusieurs liens sur là même news

Enregistré le xx septembre 2022

Téléchargement de l'épisode LesCastCodeurs-Episode-999.mp3

Interview

Ta vie ton oeuvre (présentation de l’interviewé)

Introduction à la techno (5 à 10 mins max)

En une phrase chacun :

  • PGP
  • Sigstore

Et pourquoi on signe en fait ? (use case)

  • discussion attaque de la chaine logicielle (solarwind, professionalisation des hackers, nodejs, rachats de repos etc)
  • discussion sur le build reproducible

La techno en concepts

Pourquoi on a des repository comme Maven central? Pourquoi on reconstruit pas tout a chaque fois? Ca aiderait?

Qu'est-ce que ca veut dire signer ?
Elle est dans le binaire la signature ?
Ca veut dire quoi accepter la signature ?
Et un sha256 c'est pas suffisant?

Comment on l’utilise en pratique pour un dev

On a deux technos

PGP

Ca vient d'où et de quand ?
Comment cela marche (etapes concretes devant l'ordi) ?

Petit brief sur les concepts cryptos sur la signature (asymmetrique, Alice et Bob) sans aller dans le détail

On verifie comment une signature en PGP ?

  • confiance des clés
  • echanges de clés etc

Dans maven ou gradle cela se passe comment ?
Hors maven central et dans maven central ?

Les points faibles c'est quoi ?

Sigstore

Ca vient d'où et de quand ?

Ca marche comment concretement devant mon poste (flow) ?

C'est pas vraiment Keyless, mais sans gestion de clés ?

C'est prest déjà ?
Ils ont quoi ?

(Cela s'integre comment dans maven, gradle et maven central ? -> peut etre apres)

Sous le capot de Sigstore

Quels sont les composants

fulcio

  • c’est quoi, ca fait quoi
  • relations vec OIDC
  • qui va faire tourner ce serveur?

rekor

  • c’est quoi, ca fait quoi
  • qui va faire tourner ce serveur

Le workflow:

  • clef privée / publique generee
  • elle va où après? qui la garde?
  • session où on signe les fichiers
  • envoie les signatures dans record (avec une validation basée sur le temps?)

Detail du workflow concrètement pour moi en tant que dev

  • il y a quoi dans ce qui est stocké dans rekor?

Et pour la generation machine machine (CI/CD)?

  • detail comment ca marche avec OIDC?

Mon email et l’OIDC est la source de confiance

Je peux le faire dans Maven central?

Qu’est-ce qu’il y a a améliorer ou décider?

  • bundle
  • email

Comment ils font dans les mondes javascript, python etc, quel est l’état d’avancement?

Il y a des Special Interest Groups comme dans CNCF sur Sigstore?

Ledger technology

  • monitoring de l’activité

C’est quoi trust root

Solution finale complete a ton avis ou un bonne etape intermediaire ?
Comment ils font dans les mondes javascript, python etc, quel est l’état d’avancement?

Le consommateur

Comment je valide cela

  • Maven, Gradle, etc

Le build reproductible

C’est quoi l’objectif
C’est quoi le problème?
Le lien avec le signature

La communauté, le futur

Comment tu vois la suite ? Il y a de concurrents ?
Des choses quoi complémentent ?

Nous contacter

Pour réagir à cet épisode, venez discuter sur le groupe Google https://groups.google.com/group/lescastcodeurs

Contactez-nous via twitter https://twitter.com/lescastcodeurs
Faire un crowdcast ou une crowdquestion
Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs
Tous les épisodes et toutes les infos sur https://lescastcodeurs.com/

Add a custom footer
Add a custom sidebar
Clone this wiki locally