Red Hat da Google, tare da Jami'ar Purdue, sun kafa aikin Sigstore, da nufin ƙirƙirar kayan aiki da ayyuka don tabbatar da software ta amfani da sa hannu na dijital da kuma kiyaye bayanan jama'a don tabbatar da sahihanci (takardar bayyana gaskiya). Za a samar da aikin ne a karkashin kulawar wata kungiya mai zaman kanta ta Linux Foundation.
Aikin da aka gabatar zai inganta tsaro na tashoshin rarraba software da kuma kariya daga hare-haren da ke nufin maye gurbin kayan aikin software da abubuwan dogaro (sarkar samar da kayayyaki). Ɗaya daga cikin manyan matsalolin tsaro a cikin buɗaɗɗen software shine wahalar tabbatar da tushen shirin da kuma tabbatar da tsarin ginawa. Misali, galibin ayyuka suna amfani da hashes don tabbatar da amincin sakin, amma galibi ana adana bayanan da ake buƙata don tantancewa akan tsarin da ba su da kariya kuma a cikin ma'ajin lambobin da aka raba, sakamakon haka maharan na iya yin sulhu da fayilolin da suka wajaba don tabbatarwa da gabatar da canje-canje masu muni. ba tare da tayar da tuhuma ba.
Kadan daga cikin ayyukan ayyuka ne kawai ke amfani da sa hannun dijital lokacin rarraba abubuwan fitarwa saboda matsalolin sarrafa maɓalli, rarraba maɓallan jama'a, da soke maɓallan da ba su dace ba. Domin tabbatarwa ya zama mai ma'ana, kuma ya zama dole a tsara ingantaccen tsari mai aminci don rarraba maɓallan jama'a da cak. Ko da tare da sa hannu na dijital, masu amfani da yawa suna watsi da tabbatarwa saboda suna buƙatar ɗaukar lokaci suna nazarin tsarin tabbatarwa da fahimtar wane maɓalli ne amintacce.
Sigstore an yi la'akari da shi daidai da Bari Mu Encrypt don lamba, yana ba da takaddun shaida don lambar sa hannu ta dijital da kayan aikin tabbatarwa ta atomatik. Tare da Sigstore, masu haɓakawa na iya sa hannu a lambobi na kayan tarihi masu alaƙa da aikace-aikacen kamar fayilolin saki, hotunan kwantena, bayyananni, da masu aiwatarwa. Wani fasali na musamman na Sigstore shine cewa kayan da aka yi amfani da su don sanya hannu suna nunawa a cikin bayanan jama'a masu hana ɓarna da za a iya amfani da su don tantancewa da tantancewa.
Maimakon maɓallai na dindindin, Sigstore yana amfani da maɓallan ephemeral na ɗan gajeren lokaci, waɗanda aka ƙirƙira bisa ga takaddun shaida da masu samar da OpenID Connect suka tabbatar (a lokacin samar da maɓallai don sa hannu na dijital, mai haɓakawa yana gano kansa ta hanyar mai ba da OpenID mai alaƙa da imel). Ana tabbatar da sahihancin maɓallan ta amfani da gungu na tsakiya na jama'a, wanda ke ba da damar tabbatar da cewa marubucin sa hannun shine ainihin wanda ya yi iƙirarin zama kuma ɗan takara ɗaya ne ya kafa sa hannun wanda ke da alhakin fitar da baya.
Sigstore yana ba da duka shirye-shiryen sabis waɗanda za ku iya amfani da su, da saitin kayan aikin da ke ba ku damar tura irin wannan sabis akan kayan aikin ku. Sabis ɗin kyauta ne ga duk masu haɓakawa da masu samar da software, kuma ana tura su akan dandamali mai tsaka tsaki - Gidauniyar Linux. Duk abubuwan da ke cikin sabis ɗin buɗaɗɗe ne, an rubuta su cikin Go kuma ana rarraba su ƙarƙashin lasisin Apache 2.0.
Daga cikin abubuwan da aka haɓaka za mu iya lura:
- Rekor shine aiwatar da log ɗin don adana metadata da aka rattaba hannu akan dijital wanda ke nuna bayanai game da ayyuka. Don tabbatar da mutunci da kuma kariya daga ɓarnawar bayanai bayan gaskiyar, ana amfani da tsari mai kama da bishiya "Bishiyar Merkle", wanda kowane reshe ya tabbatar da duk rassa da nodes masu tushe, godiya ga haɗin gwiwa (kamar itace) hashing. Samun hash na ƙarshe, mai amfani zai iya tabbatar da daidaiton duk tarihin ayyukan da aka yi, da kuma daidaitattun jahohin da suka gabata na ma'ajin bayanai (ana ƙididdige tushen hash ɗin sabon yanayin bayanan da aka yi la'akari da yanayin da ya gabata. ). Don tabbatarwa da ƙara sabbin bayanai, an samar da Restful API, da kuma cli interface.
- Fulcio (SigStore WebPKI) tsari ne don ƙirƙirar hukumomin takaddun shaida (Root-CAs) waɗanda ke ba da takaddun ɗan gajeren lokaci dangane da imel ɗin da aka inganta ta hanyar Haɗin OpenID. Rayuwar satifiket ɗin shine mintuna 20, wanda dole ne mai haɓakawa ya sami lokaci don samar da sa hannu na dijital (idan takardar shaidar daga baya ta fada hannun maharan, tuni ta ƙare).
- Сosign (Sa hannun Kwantena) kayan aiki ne don samar da sa hannu don kwantena, tabbatar da sa hannu da sanya kwantena da aka sanya hannu a ma'ajiyar da suka dace da OCI (Bude Kwantena Initiative).
source: budenet.ru