Google-k Sigstore proiektua osatzen duten osagaien lehen bertsio egonkorrak eratu zituela iragarri zuen, laneko inplementazioetarako egokia dela deklaratzen dena. Sigstore-k softwarea egiaztatzeko tresnak eta zerbitzuak garatzen ditu sinadura digitalak erabiliz eta erregistro publiko bat mantenduz, aldaketen benetakotasuna berresten duena (gardentasun erregistroa). Proiektua Linux Foundation irabazi-asmorik gabeko erakundearen babespean garatzen ari dira Google, Red Hat, Cisco, vmWare, GitHub eta HP Enterprise enpresak OpenSSF (Open Source Security Foundation) eta Purdue Unibertsitatearen parte-hartzearekin.
Sigstore Let's Encrypt kodeatzat har daiteke, kodea digitalki sinatzeko ziurtagiriak eta egiaztapena automatizatzeko tresnak eskaintzen dituena. Sigstore-rekin, garatzaileek aplikazioekin erlazionatutako artefaktuak digitalki sinatu ditzakete, hala nola kaleratze-fitxategiak, edukiontzien irudiak, manifestuak eta exekutagarriak. Sinadurarako erabilitako materiala manipulaziorik gabeko erregistro publiko batean islatzen da, egiaztatzeko eta ikuskatzeko erabil daitekeen.
Gako iraunkorren ordez, Sigstore-k iraupen laburreko gako iragankorrak erabiltzen ditu, OpenID Connect hornitzaileek egiaztatutako kredentzialetan oinarrituta sortzen direnak (sinadura digitala sortzeko beharrezkoak diren gakoak sortzeko unean, garatzaileak bere burua identifikatzen du OpenID hornitzailearen bidez posta elektronikoko loturarekin. ). Gakoen benetakotasuna erregistro publiko zentralizatu baten bidez egiaztatzen da, eta horrek sinaduraren egilea bera dela dioena dela ziurtatzeko aukera ematen du, eta sinadura iraganeko kaleratzeen arduraduna izan zen parte-hartzaile berberak eratu zuen.
Sigstore inplementatzeko prest egotea bi osagai gakoren bertsioak sortzeari zor zaio: Rekor 1.0 eta Fulcio 1.0, programazio-interfazeak egonkorrak direla eta aurrerantzean bateragarritasuna mantenduz. Zerbitzuaren osagaiak Go-n idatzita daude eta Apache 2.0 lizentziapean banatzen dira.
Rekor osagaiak proiektuei buruzko informazioa islatzen duen digitalki sinatutako metadatuak gordetzeko erregistro-inplementazioa du. Datuen ustelkeriaren aurkako osotasuna eta babesa bermatzeko, Merkle Tree zuhaitz-egitura bat erabiltzen da, non adar bakoitzak azpiko adar eta nodo guztiak egiaztatzen dituen elkarrekin (zuhaitz) hashing bidez. Azken hash bat edukita, erabiltzaileak eragiketen historia osoaren zuzentasuna egiazta dezake, baita datu-basearen iraganeko egoeren zuzentasuna ere (datu-basearen egoera berriaren erro egiaztatzeko hash-a iraganeko egoera kontuan hartuta kalkulatzen da. ). Erregistro berriak egiaztatzeko eta gehitzeko RESTful API bat eskaintzen da, baita komando lerroko interfaze bat ere.
Fulcio osagaiak (SigStore WebPKI) OpenID Connect bidez autentifikatu den posta elektronikoan oinarritutako iraupen laburreko ziurtagiriak igortzen dituzten agintari ziurtagiri-emaileak (CA erroak) sortzeko sistema bat dakar. Ziurtagiriaren iraupena 20 minutukoa da, eta horietan garatzaileak denbora izan behar du sinadura digitala sortzeko (etorkizunean ziurtagiria erasotzaile baten eskuetan geratzen bada, dagoeneko iraungiko da). Gainera, proiektuak Cosign (Container Signing) tresna-kit bat garatzen du, edukiontzietarako sinadurak sortzeko, sinadurak egiaztatzeko eta sinatutako edukiontziak OCIrekin bateragarriak diren biltegietan jartzeko (Open Container Initiative).
Sigstore-ren sarrerak software banatzeko kanalen segurtasuna areagotzea eta liburutegiak eta mendekotasunak (hornikuntza-katea) ordezkatzea helburu duten erasoetatik babestea ahalbidetzen du. Kode irekiko softwarearen segurtasun-arazo nagusietako bat programaren iturria egiaztatzeko eta eraikitze-prozesua egiaztatzeko zailtasuna da. Adibidez, proiektu gehienek hash-ak erabiltzen dituzte bertsio baten osotasuna egiaztatzeko, baina askotan autentifikaziorako beharrezkoa den informazioa babesik gabeko sistemetan eta kodearekin partekatutako biltegietan gordetzen da, eta ondorioz, arriskuan jartzen badira, erasotzaileek beharrezko fitxategiak ordezkatu ditzakete. egiaztatzea eta, susmorik piztu gabe, aldaketa gaiztoak sartu.
Oharra egiaztatzeko sinadura digitalaren erabilera ez da oraindik hedatu gakoen kudeaketan, gako publikoen banaketan eta arriskuan dauden gakoak baliogabetzearen zailtasunengatik. Egiaztapenak zentzua izan dezan, gainera, gako publikoak eta checksums banatzeko prozesu fidagarri eta seguru bat antolatu behar da. Sinadura digitala izanda ere, erabiltzaile askok egiaztapena alde batera uzten dute, denbora behar baita egiaztapen-prozesua ikasteko eta zein gako fidagarria den ulertzeko. Sigstore proiektua prozesu horiek errazten eta automatizatzen saiatzen da, prest egindako eta frogatutako irtenbide bat eskainiz.
Iturria: opennet.ru