Gipahibalo sa Google ang pagporma sa una nga lig-on nga pagpagawas sa mga sangkap nga nagporma sa proyekto sa Sigstore, nga gideklarar nga angay alang sa paghimo sa mga pagpatuman sa pagtrabaho. Ang Sigstore nagpalambo sa mga himan ug serbisyo alang sa pag-verify sa software gamit ang digital nga mga pirma ug pagmintinar sa usa ka publikong log nga nagpamatuod sa pagkatinuod sa mga kausaban (transparency log). Ang proyekto gipalambo ubos sa pagdumala sa non-profit nga organisasyon nga Linux Foundation sa Google, Red Hat, Cisco, vmWare, GitHub ug HP Enterprise uban sa partisipasyon sa OpenSSF (Open Source Security Foundation) nga organisasyon ug Purdue University.
Ang Sigstore mahimong isipon nga Let's Encrypt para sa code, nga naghatag og mga sertipiko sa digitally sign code ug mga himan aron ma-automate ang verification. Uban sa Sigstore, ang mga developers makapirma sa digital nga mga artifact nga may kalabutan sa aplikasyon sama sa pagpagawas sa mga file, mga hulagway sa sudlanan, mga manifest, ug mga executable. Ang materyal nga pirma makita sa usa ka tamper-proof public log nga magamit alang sa pag-verify ug pag-audit.
Imbis nga permanente nga mga yawe, ang Sigstore naggamit sa mga mubu nga kinabuhi nga ephemeral nga mga yawe, nga namugna base sa mga kredensyal nga gikumpirma sa mga provider sa OpenID Connect (sa panahon sa paghimo sa mga yawe nga gikinahanglan sa paghimo og digital nga pirma, ang developer nagpaila sa iyang kaugalingon pinaagi sa OpenID provider nga nalambigit sa usa ka email). Ang pagkakasaligan sa mga yawe gipamatud-an gamit ang usa ka publiko nga sentralisadong log, nga nagpaposible nga mapamatud-an nga ang tagsulat sa pirma mao gyud ang iyang giangkon, ug ang pirma gihimo sa parehas nga partisipante nga responsable sa nangaging mga pagpagawas.
Ang kaandam sa Sigstore alang sa pagpatuman tungod sa pagporma sa mga pagpagawas sa duha ka yawe nga mga sangkap - Rekor 1.0 ug Fulcio 1.0, ang mga interface sa software nga gideklarar nga lig-on ug magpadayon nga pabalik nga katugma. Ang mga sangkap sa serbisyo gisulat sa Go ug giapod-apod ubos sa lisensya sa Apache 2.0.
Ang sangkap sa Rekor adunay usa ka pagpatuman sa log alang sa pagtipig sa digital nga gipirmahan nga metadata nga nagpakita sa kasayuran bahin sa mga proyekto. Aron masiguro ang integridad ug mapanalipdan batok sa korapsyon sa datos pagkahuman sa kamatuoran, usa ka istruktura sa kahoy nga Merkle Tree ang gigamit, diin ang matag sanga nagpamatuod sa tanan nga nagpahiping mga sanga ug mga buko pinaagi sa hiniusa nga (kahoy) nga hashing. Ang pagbaton sa katapusan nga hash, ang user mahimong mapamatud-an ang pagkahusto sa tibuok nga kasaysayan sa mga operasyon, ingon man ang pagkahusto sa nangaging mga estado sa database (ang root verification hash sa bag-ong estado sa database gikalkula nga gikonsiderar ang nangagi nga estado. ). Ang usa ka RESTful API gihatag alang sa pag-verify ug pagdugang sa bag-ong mga rekord, ingon man usa ka interface sa command line.
Ang Fulcio component (SigStore WebPKI) naglakip sa usa ka sistema sa pagmugna og mga awtoridad sa sertipikasyon (root CAs) nga nag-isyu og mubo nga kinabuhi nga mga sertipiko base sa email nga gi-authenticate pinaagi sa OpenID Connect. Ang tibuok kinabuhi sa sertipiko mao ang 20 minutos, diin ang developer kinahanglan nga adunay panahon sa pagmugna og usa ka digital nga pirma (kung ang sertipiko sa ulahi mahulog sa mga kamot sa usa ka tig-atake, kini ma-expire na). Dugang pa, ang proyekto nagpalambo sa toolkit sa Cosign (Container Signing), nga gidisenyo aron makamugna og mga pirma alang sa mga sudlanan, pag-verify sa mga pirma ug pagbutang sa mga sudlanan nga gipirmahan sa mga repository nga nahiuyon sa OCI (Open Container Initiative).
Ang pagpatuman sa Sigstore nagpaposible nga madugangan ang seguridad sa mga channel sa pag-apod-apod sa programa ug mapanalipdan batok sa mga pag-atake nga gitumong sa pag-ilis sa mga librarya ug mga dependency (supply chain). Usa sa mga nag-unang problema sa seguridad sa open source software mao ang kalisud sa pag-verify sa tinubdan sa programa ug pag-verify sa proseso sa pagtukod. Pananglitan, kadaghanan sa mga proyekto naggamit og mga hash aron mapamatud-an ang integridad sa usa ka pagpagawas, apan kasagaran ang impormasyon nga gikinahanglan alang sa pag-authenticate gitipigan sa mga sistema nga walay panalipod ug sa gipaambit nga mga tipiganan sa code, ingon nga resulta diin ang mga tig-atake mahimong makompromiso ang mga file nga gikinahanglan alang sa pag-verify ug magpaila sa malisyosong mga kausaban sa walay pagpataas sa pagduda.
Ang paggamit sa mga digital nga pirma alang sa pag-verify sa pagpagawas wala pa mahimong kaylap tungod sa mga kalisud sa pagdumala sa mga yawe, pag-apod-apod sa mga yawe sa publiko, ug pagbawi sa mga nakompromiso nga yawe. Aron masabtan ang pag-verify, gikinahanglan usab ang pag-organisar ug kasaligan ug luwas nga proseso sa pag-apod-apod sa mga yawe ug checksum sa publiko. Bisan sa usa ka digital nga pirma, daghang mga tiggamit ang wala magtagad sa pag-verify tungod kay kinahanglan nila nga mogahin og oras sa pagkat-on sa proseso sa pag-verify ug pagsabut kung unsang yawe ang kasaligan. Ang proyekto sa Sigstore misulay sa pagpayano ug pag-automate niini nga mga proseso pinaagi sa paghatag ug andam ug napamatud-an nga solusyon.
Source: opennet.ru