Ce qu’il faut savoir sur le projet OpenPubkey

La Fondation Linux, BastionZero et Docker annoncent conjointement le lancement d’OpenPubkey. Il devient ainsi un projet open source à part entière au sein de la Fondation Linux.

Le protocole OpenPubkey a été développé comme solution d’accès sécurisée à l’infrastructure de BastionZero. Le nouveau protocole cryptographique permet aux développeurs de créer des applications de sécurité ou de chaîne d’approvisionnement logicielle.

Applications concrètes

Concrètement, OpenPubkey permet aux utilisateurs de lier des clés cryptographiques aux utilisateurs et aux charges de travail en transformant un fournisseur d’identité (IdP) OpenID Connect en une autorité de certification (CA).

De ce fait, les utilisateurs de Docker améliorent la sécurité de la chaîne d’approvisionnement des logiciels. D’ailleurs, dans le sillon du lancement d’OpenPubkey, BastionZero annonce l’intégration d’OpenPubkey pour la signature des conteneurs Docker. Objectif : sécuriser l’écosystème des logiciels libres avec une authentification sans mot de passe de type zero trust.

Quelle différence avec Sigstore ?

OpenPubkey ne peut pas vraiment être comparé à Sigstore, car Sigstore est une solution de signature d’artefacts de bout en bout, alors qu’OpenPubkey ne fait que lier des clés publiques à des identités OIDC pour les utiliser dans le cadre d’une solution de signature plus large.

Un projet open source

BastionZero et Docker ont choisi d’apporter cette technologie à la communauté open source; sous l’égide de la Fondation Linux. Il est ainsi possible de rejoindre la communauté via la page GitHub du projet.