Bhunaigh Red Hat agus Google, in éineacht le hOllscoil Purdue, an tionscadal Sigstore, a raibh sé mar aidhm aige uirlisí agus seirbhísí a chruthú chun bogearraí a fhíorú ag baint úsáide as sínithe digiteacha agus logáil phoiblí a chothabháil chun barántúlacht a dhearbhú (loga trédhearcachta). Déanfar an tionscadal a fhorbairt faoi choimirce na heagraíochta neamhbhrabúis Linux Foundation.
Feabhsóidh an tionscadal atá beartaithe slándáil bealaí dáileacháin bogearraí agus cosnóidh sé in aghaidh ionsaithe atá dírithe ar chomhpháirteanna agus spleáchais bogearraí (slabhra soláthair) a athsholáthar. Ceann de na príomhfhadhbanna slándála i mbogearraí foinse oscailte ná an deacracht a bhaineann le foinse an chláir a fhíorú agus an próiseas tógála a fhíorú. Mar shampla, úsáideann formhór na dtionscadal hashes chun sláine eisithe a fhíorú, ach is minic a stóráiltear an fhaisnéis atá riachtanach don fhíordheimhniú ar chórais gan chosaint agus i stórtha cód comhroinnte, agus mar thoradh air sin is féidir le hionsaitheoirí comhréiteach a dhéanamh ar na comhaid is gá chun fíorú a dhéanamh agus athruithe mailíseach a thabhairt isteach. gan amhras a ardú.
Ní úsáideann ach cuid bheag de na tionscadail sínithe digiteacha agus eisiúintí á ndáileadh acu mar gheall ar dheacrachtaí a bhaineann le heochracha a bhainistiú, eochracha poiblí a dháileadh, agus eochracha comhghéillte a chúlghairm. Chun ciall a bhaint as an bhfíorú, is gá freisin próiseas iontaofa agus slán a eagrú chun eochracha poiblí agus seiceálacha a dháileadh. Fiú le síniú digiteach, déanann go leor úsáideoirí neamhaird ar an bhfíorú mar go gcaithfidh siad am a chaitheamh ag déanamh staidéir ar an bpróiseas fíoraithe agus tuiscint a fháil ar an eochair atá iontaofa.
Touted Sigstore mar an coibhéis de Let's Encrypt for code, ag soláthar deimhnithe chun cód a shíniú go digiteach agus uirlisí chun fíorú a uathoibriú. Le Sigstore, is féidir le forbróirí déantáin a bhaineann le feidhmchláir a shíniú go digiteach ar nós comhaid scaoilte, íomhánna coimeádáin, forléirithe agus earraí inrite. Gné speisialta de Sigstore is ea go léirítear an t-ábhar a úsáidtear le haghaidh sínithe i loga poiblí dobhearnaithe is féidir a úsáid le haghaidh fíorú agus iniúchta.
In ionad eochracha buan, úsáideann Sigstore eochracha gearrshaolacha gearrshaolacha, a ghintear bunaithe ar dhintiúir arna ndeimhniú ag soláthraithe OpenID Connect (tráth a ghintear eochracha le haghaidh síniú digiteach, sainaithníonn an forbróir é féin trí sholáthraí OpenID atá nasctha le ríomhphost). Fíoraítear barántúlacht na n-eochracha ag baint úsáide as logáil láraithe poiblí, rud a fhágann gur féidir a fhíorú gurb é údar an tsínithe go díreach cé a éilíonn sé a bheith agus ba é an rannpháirtí céanna a bhí freagrach as eisiúintí san am atá thart a chruthaigh an síniú.
Soláthraíonn Sigstore seirbhís réamhdhéanta ar féidir leat a úsáid cheana féin, agus sraith uirlisí a ligeann duit seirbhísí comhchosúla a úsáid ar do threalamh féin. Tá an tseirbhís saor in aisce do gach forbróir agus soláthróir bogearraí, agus déantar í a imscaradh ar ardán neodrach - an Linux Foundation. Tá gach comhpháirt den tseirbhís foinse oscailte, scríofa in Téigh agus a dháileadh faoi cheadúnas Apache 2.0.
I measc na gcomhpháirteanna forbartha is féidir linn a thabhairt faoi deara:
- Is feidhmchlár loga é Rekor chun meiteashonraí sínithe go digiteach a stóráil a léiríonn faisnéis faoi thionscadail. Chun sláine a chinntiú agus cosaint i gcoinne éilliú sonraí tar éis an bhfíric, úsáidtear struchtúr cosúil le crann “Merkle Tree”, ina bhfíoraíonn gach brainse na brainsí agus na nóid bhunúsacha go léir, a bhuíochas le hashing comhpháirteacha (cosúil le crann). Agus an hash deiridh aige, is féidir leis an úsáideoir cruinneas stair iomlán na n-oibríochtaí a fhíorú, chomh maith le cruinneas staid an bhunachair shonraí san am atá caite (déantar hash fíorú fréimhe staid nua an bhunachair sonraí a ríomh ag cur san áireamh an staid atá caite. ). Chun taifid nua a fhíorú agus a chur leis, soláthraítear API Restful, chomh maith le comhéadan cli.
- Is córas é Fulcio (SigStore WebPKI) chun údaráis deimhniúcháin (Root-CAs) a chruthú a eisíonn deimhnithe gearrshaolacha bunaithe ar ríomhphost fíordheimhnithe trí OpenID Connect. Is é 20 nóiméad saolré an deimhnithe, agus ní mór go mbeadh am ag an bhforbróir síniú digiteach a ghiniúint (má thiteann an deimhniú ina dhiaidh sin i lámha ionsaitheoir, beidh sé imithe in éag cheana féin).
- Is foireann uirlisí é Сosign (Síniú Coimeádán) chun sínithe a ghiniúint do choimeádáin, sínithe a fhíorú agus coimeádáin sínithe a chur i stórtha atá comhoiriúnach le OCI (Open Container Initiative).
Foinse: oscailtenet.ru