Louis Jacomet

Louis Jacomet

Gradle, Inc.

Louis Jacomet has been perfecting his knowledge of Java for more than 20 years. Always a developer at heart, his role evolved over the last years to include technical team leading, coaching and some management. In addition to the bits and bytes, Louis is interested in people management skills mandatory to create a productive project team. To complete the buzzword bingo, Louis is interested in agile practices for the visibility, communication and result orientation it promotes. After working remotely from Belgium for Terracotta, with a focus on Ehcache, Louis is now part of the Gradle Build Tool team.

Twitter : @ljacomet

Blog: https://jacomet.dev

archisec

Track : Architecture, Performance and Security

Type de présentation : University

Sécurité de la chaîne logicielle avec Sigstore

L’utilisation de dépendances est un des piliers de la construction d’applications ou de services en Java. Et les hackers l’ont bien compris! Il devient de plus en plus important de maîtriser la sécurité de la chaîne logicielle de bout en bout. Un des éléments est de pouvoir s’assurer qu’une nouvelle version d’une librairie a bien été publiée par ses auteurs.

C’est là qu’intervient Sigstore, un nouveau standard pour signer, vérifier et protéger le logiciel. Les membres de l’OpenSSF (Open Source Security Foundation) développent cette initiative pour les différents langages et écosystèmes.

Qu’est-ce que cela veut dire pour l’écosystème JVM et son repository par défaut Maven Central?

Dans cette université, nous aurons l'occasion de développer les points suivants:

  • Qu’est-ce qu’une signature Sigstore? Et comment la créer ou la vérifier.
  • Maven Central et Sigstore, comment ça marche?
  • Impacts pour Maven et Gradle
    • Publication de composants signés
    • Vérification des signatures Sigstore