Dh’ainmich Google gun deach a’ chiad sgaoilidhean seasmhach de na pàirtean a tha nam pàirt de phròiseact Sigstore a chruthachadh, a tha air ainmeachadh gu bheil e iomchaidh airson buileachadh obrach a chruthachadh. Bidh Sigstore a’ leasachadh innealan agus seirbheisean airson dearbhadh bathar-bog a’ cleachdadh ainmean didseatach agus a’ cumail log poblach a’ dearbhadh dearbhteachd nan atharrachaidhean (log follaiseachd). Tha am pròiseact ga leasachadh fo sgèith na buidhne neo-phrothaideach Linux Foundation le Google, Red Hat, Cisco, vmWare, GitHub agus HP Enterprise le com-pàirt OpenSSF (Open Source Security Foundation) agus Oilthigh Purdue.
Faodar smaoineachadh air Sigstore mar Let's Encrypt airson còd, a’ toirt seachad teisteanasan airson còd a shoidhnigeadh gu didseatach agus innealan airson dearbhadh fèin-ghluasadach. Le Sigstore, faodaidh luchd-leasachaidh soidhnigeadh didseatach a dhèanamh air stuthan co-cheangailte ri tagradh leithid faidhlichean fuasglaidh, ìomhaighean soithich, manifests, agus executables. Tha an stuth a thathar a’ cleachdadh airson soidhnigeadh air a nochdadh ann an log poblach dìon-tamper a ghabhas cleachdadh airson dearbhadh agus sgrùdadh.
An àite iuchraichean maireannach, bidh Sigstore a’ cleachdadh iuchraichean geàrr-ùine geàrr-ùine a thèid a chruthachadh stèidhichte air na teisteanasan a dhearbh solaraichean OpenID Connect (aig àm a bhith a’ gineadh na h-iuchraichean a tha riatanach gus ainm-sgrìobhte didseatach a chruthachadh, bidh an leasaiche ga chomharrachadh fhèin tron t-solaraiche OpenID le ceangal post-d. ). Tha dearbhteachd nan iuchraichean air a dhearbhadh le log meadhanaichte poblach, a leigeas leat dèanamh cinnteach gur e ùghdar an ainm-sgrìobhte dìreach cò a tha e ag ràdh a bhith, agus chaidh an ainm-sgrìobhte a chruthachadh leis an aon chom-pàirtiche a bha an urra ri fiosan a chaidh seachad roimhe.
Tha cho deònach sa tha Sigstore airson a bhuileachadh mar thoradh air dà phrìomh phàirt a chruthachadh - Rekor 1.0 agus Fulcio 1.0, aig a bheil eadar-aghaidh prògramadh air ainmeachadh seasmhach agus mar sin a’ cumail co-chòrdalachd air ais. Tha na pàirtean seirbheis air an sgrìobhadh ann an Go agus air an sgaoileadh fo chead Apache 2.0.
Anns a ’phàirt Rekor tha buileachadh log airson meata-dàta le soidhnigeadh didseatach a stòradh a tha a’ nochdadh fiosrachadh mu phròiseactan. Gus dèanamh cinnteach à ionracas agus dìon an aghaidh coirbeachd dàta, thathas a’ cleachdadh structar craoibhe Merkle Tree anns am bi gach meur a’ dearbhadh a h-uile meur agus nodan fon talamh tro hashing (craobh). Le hash deireannach, faodaidh an neach-cleachdaidh dearbhadh dè cho ceart ‘s a tha eachdraidh gnìomhachd iomlan, a bharrachd air ceartachd nan stàitean san àm a dh’ fhalbh den stòr-dàta (tha hash dearbhaidh freumh staid ùr an stòr-dàta air a thomhas a ’toirt aire don staid a dh’ fhalbh ). Tha API RESTful air a sholarachadh airson clàran ùra a dhearbhadh agus a chur ris, a bharrachd air eadar-aghaidh loidhne-àithne.
Tha am pàirt Fulcio (SigStore WebPKI) a’ toirt a-steach siostam airson ùghdarrasan teisteanais (root CAn) a chruthachadh a bheir seachad teisteanasan geàrr-ùine stèidhichte air post-d dearbhte tro OpenID Connect. Is e beatha an teisteanais 20 mionaid, agus feumaidh ùine a bhith aig an leasaiche ainm-sgrìobhte didseatach a ghineadh (ma tha an teisteanas san àm ri teachd a’ tuiteam ann an làmhan neach-ionnsaigh, thig e gu crìch mu thràth). A bharrachd air an sin, tha am pròiseact a’ leasachadh an inneal Cosign (Container Signing), a chaidh a dhealbhadh gus ainmean-sgrìobhte a ghineadh airson soithichean, dearbhadh ainmean-sgrìobhte agus soithichean soidhnichte a chuir ann an stòran a tha co-chosmhail ri OCI (Open Container Initiative).
Tha toirt a-steach Sigstore ga dhèanamh comasach tèarainteachd sianalan cuairteachaidh bathar-bog àrdachadh agus dìon an aghaidh ionnsaighean a tha ag amas air leabharlannan agus eisimeileachd (sèine solair) a chuir an àite. Is e aon de na prìomh chùisean tèarainteachd ann am bathar-bog stòr fosgailte an duilgheadas a bhith a’ dearbhadh cò às a tha am prògram agus a’ dearbhadh a’ phròiseas togail. Mar eisimpleir, bidh a’ mhòr-chuid de phròiseactan a’ cleachdadh hashes gus ionracas fios a dhearbhadh, ach gu tric bidh am fiosrachadh a tha riatanach airson dearbhadh air a stòradh air siostaman gun dìon agus ann an stòran co-roinnte le còd, agus mar thoradh air an sin, ma thèid an cur an sàs, faodaidh luchd-ionnsaigh na faidhlichean a tha riatanach a chuir an àite. dearbhadh agus, gun a bhith a’ togail amharas, thoir a-steach atharrachaidhean droch-rùnach.
Chan eil cleachdadh ainmean didseatach airson dearbhadh fuasglaidh fhathast air fàs farsaing air sgàth duilgheadasan ann am prìomh riaghladh, cuairteachadh iuchraichean poblach, agus cùl-ghairm iuchraichean cunnartach. Gus am bi an dearbhadh ciallach, feumar cuideachd pròiseas earbsach is tèarainte a chuir air dòigh airson iuchraichean poblach agus seicichean a sgaoileadh. Fiù ‘s le ainm-sgrìobhte didseatach, bidh mòran de luchd-cleachdaidh a’ seachnadh dearbhadh oir bheir e ùine am pròiseas dearbhaidh ionnsachadh agus tuigsinn dè an iuchair a tha earbsach. Bidh pròiseact Sigstore a’ feuchainn ris na pròiseasan sin a dhèanamh nas sìmplidhe agus a dhèanamh fèin-ghluasadach le bhith a’ toirt seachad fuasgladh deiseil agus dearbhte.
Source: fosgailtenet.ru