ጎግል የስራ አተገባበርን ለመፍጠር ተስማሚ ነው የተባለውን የሲግስስቶር ፕሮጀክትን የሚመሰርቱ አካላት የመጀመሪያዎቹን የተረጋጋ ልቀቶችን መስራቱን አስታውቋል። Sigstore ዲጂታል ፊርማዎችን በመጠቀም የሶፍትዌር ማረጋገጫ መሳሪያዎችን እና አገልግሎቶችን ያዘጋጃል እና የለውጦችን ትክክለኛነት የሚያረጋግጥ የህዝብ ምዝግብ ማስታወሻ (የግልጽነት መዝገብ)። ፕሮጀክቱ ለትርፍ ያልተቋቋመ ድርጅት ሊኑክስ ፋውንዴሽን በGoogle፣ Red Hat፣ Cisco፣ vmWare፣ GitHub እና HP Enterprise በ OpenSSF (Open Source Security Foundation) ድርጅት እና ፑርዱ ዩኒቨርሲቲ እየተሳተፉ ይገኛሉ።
ሲግስቶር ኮድን እናመስጥር ተብሎ ሊታሰብ ይችላል፣ ይህም ኮድ በዲጂታል ለመፈረም የምስክር ወረቀቶችን እና የማረጋገጫ አውቶማቲክ መሳሪያዎችን ያቀርባል። በSigstore ገንቢዎች እንደ የመልቀቂያ ፋይሎች፣ የመያዣ ምስሎች፣ መግለጫዎች እና ተፈፃሚዎች ያሉ ከመተግበሪያ ጋር የተገናኙ ቅርሶችን በዲጅታዊ መንገድ መፈረም ይችላሉ። የፊርማው ቁሳቁስ ለማረጋገጫ እና ለኦዲት በሚያገለግል የህዝብ ምዝግብ ማስታወሻ ላይ ተንጸባርቋል።
ከቋሚ ቁልፎች ይልቅ፣ ሲግስቶር በአጭር ጊዜ የሚቆዩ የኢፌመር ቁልፎችን ይጠቀማል፣ እነዚህም የሚመነጩት በOpenID Connect አቅራቢዎች በተረጋገጡ ምስክርነቶች ላይ ነው (ዲጂታል ፊርማ ለመፍጠር አስፈላጊ የሆኑትን ቁልፎች በሚያመነጩበት ጊዜ፣ ገንቢው እራሱን በ OpenID አቅራቢ በኩል ከኤ. ኢሜል) ። የቁልፎቹ ትክክለኛነት የሚረጋገጠው በሕዝብ የተማከለ ሎግ በመጠቀም ነው፣ይህም የፊርማው ፀሐፊ በትክክል ማን ነኝ የሚለው መሆኑን ለማረጋገጥ ያስችላል፣ እና ፊርማው የተፈጠረው ላለፉት ልቀቶች ተጠያቂ በሆነው ተሳታፊ ነው።
የሲግስቶር ተግባራዊነት ዝግጁነት የሁለት ቁልፍ አካላት ልቀቶች በመፈጠሩ ምክንያት ነው - ሬኮር 1.0 እና ፉልሲዮ 1.0 ፣ የሶፍትዌር በይነገጽ የተረጋጋ እና ወደ ኋላ ተኳሃኝ ሆኖ ይቀጥላል። የአገልግሎት ክፍሎቹ በGo ውስጥ የተፃፉ እና በ Apache 2.0 ፍቃድ ስር ይሰራጫሉ።
የሬኮር አካል ስለፕሮጀክቶች መረጃን የሚያንፀባርቅ በዲጂታል የተፈረመ ዲበ ውሂብ ለማከማቸት የምዝግብ ማስታወሻ አተገባበር ይዟል። ከእውነታው በኋላ ታማኝነትን ለማረጋገጥ እና ከውሂብ ብልሹነት ለመጠበቅ እያንዳንዱ ቅርንጫፍ ሁሉንም ቅርንጫፎች እና አንጓዎች በጋራ (ዛፍ) ሀሺንግ የሚያረጋግጥበት የመርክል ዛፍ መዋቅር ጥቅም ላይ ይውላል። የመጨረሻውን ሃሽ ሲይዝ ተጠቃሚው የጠቅላላውን የአሠራር ታሪክ ትክክለኛነት እንዲሁም የውሂብ ጎታውን ያለፉትን ግዛቶች ትክክለኛነት ማረጋገጥ ይችላል (የአዲሱ የመረጃ ቋቱ ሁኔታ ስር የማረጋገጫ ሃሽ ያለፈውን ሁኔታ ግምት ውስጥ በማስገባት ይሰላል) ). RESTful API ለማረጋገጫ እና አዳዲስ መዝገቦችን ለመጨመር እንዲሁም የትእዛዝ መስመር በይነገጽ ይቀርባል።
የፉልሲዮ አካል (SigStore WebPKI) በOpenID Connect በተረጋገጠ ኢሜል ላይ በመመስረት የአጭር ጊዜ የምስክር ወረቀቶችን የሚሰጥ የእውቅና ማረጋገጫ ባለስልጣናትን (root CAs) የመፍጠር ስርዓትን ያካትታል። የምስክር ወረቀቱ የህይወት ዘመን 20 ደቂቃ ነው, በዚህ ጊዜ ገንቢው ዲጂታል ፊርማ ለማመንጨት ጊዜ ሊኖረው ይገባል (የምስክር ወረቀቱ በኋላ በአጥቂ እጅ ውስጥ ከገባ, ጊዜው ያለፈበት ይሆናል). በተጨማሪም ፕሮጀክቱ ለመያዣዎች ፊርማ ለማመንጨት፣ ፊርማዎችን ለማረጋገጥ እና የተፈረሙ ኮንቴይነሮችን ከ OCI (Open Container Initiative) ጋር በሚጣጣሙ ማከማቻዎች ውስጥ ለማስቀመጥ የተነደፈውን የኮሲንግ (ኮንቴይነር ፊርማ) መሳሪያ በማዘጋጀት ላይ ነው።
የ Sigstore ትግበራ የፕሮግራም ማከፋፈያ ጣቢያዎችን ደህንነት ለመጨመር እና ቤተ-መጻህፍትን እና ጥገኞችን (የአቅርቦት ሰንሰለት) ለመተካት የታለሙ ጥቃቶችን ለመከላከል ያስችላል። በክፍት ምንጭ ሶፍትዌር ውስጥ ካሉት ቁልፍ የደህንነት ችግሮች አንዱ የፕሮግራሙን ምንጭ የማጣራት እና የግንባታ ሂደቱን የማጣራት ችግር ነው። ለምሳሌ፣ አብዛኞቹ ፕሮጀክቶች የተለቀቀውን ትክክለኛነት ለማረጋገጥ ሃሽ ይጠቀማሉ፣ ነገር ግን አብዛኛውን ጊዜ ለማረጋገጫ አስፈላጊው መረጃ ጥበቃ በሌላቸው ስርዓቶች እና በጋራ ኮድ ማከማቻዎች ውስጥ ይከማቻል፣ በዚህ ምክንያት አጥቂዎች ለማረጋገጥ አስፈላጊ የሆኑትን ፋይሎች ሊያበላሹ እና ጎጂ ለውጦችን ሊያስተዋውቁ ይችላሉ። ጥርጣሬን ሳያሳድጉ.
የዲጂታል ፊርማዎችን ለመለቀቂያ ማረጋገጫ መጠቀም ቁልፎችን በማስተዳደር፣ የህዝብ ቁልፎችን በማሰራጨት እና የተበላሹ ቁልፎችን በመሻር ችግሮች ምክንያት እስካሁን አልተስፋፋም። ማረጋገጫው ትርጉም እንዲኖረው፣ የህዝብ ቁልፎችን እና ቼኮችን ለማሰራጨት አስተማማኝ እና አስተማማኝ ሂደትን ማደራጀት አስፈላጊ ነው። በዲጂታል ፊርማ እንኳን፣ ብዙ ተጠቃሚዎች የማረጋገጫ ሂደቱን ችላ በማለት የማረጋገጫ ሂደቱን በመማር እና የትኛው ቁልፍ እምነት እንደሚጣልበት በመረዳት ጊዜ ማሳለፍ ስላለባቸው ነው። የሲግስቶር ፕሮጀክት ዝግጁ እና የተረጋገጠ መፍትሄ በማቅረብ እነዚህን ሂደቶች ለማቅለል እና በራስ-ሰር ለማድረግ ይሞክራል።
ምንጭ: opennet.ru