Google ya ba da sanarwar samar da ingantaccen sakin abubuwan da suka samar da aikin Sigstore, wanda aka ayyana dacewa don ƙirƙirar aiwatar da aiki. Sigstore yana haɓaka kayan aiki da ayyuka don tabbatar da software ta amfani da sa hannun dijital da kuma kiyaye bayanan jama'a da ke tabbatar da sahihancin canje-canje (lamban nuna gaskiya). Ana ci gaba da aikin ne a ƙarƙashin kulawar ƙungiyar masu zaman kansu ta Linux Foundation ta Google, Red Hat, Cisco, vmWare, GitHub da HP Enterprise tare da halartar OpenSSF (Open Source Security Foundation) da Jami'ar Purdue.
Ana iya tunanin Sigstore azaman Mu Encrypt don lamba, samar da takaddun shaida don lambar sa hannu ta lambobi da kayan aikin tabbatarwa ta atomatik. Tare da Sigstore, masu haɓakawa za su iya sa hannu a lambobi na kayan tarihi masu alaƙa da aikace-aikacen kamar fayilolin saki, hotunan akwati, bayyananni, da masu aiwatarwa. Abubuwan da aka yi amfani da su don sanya hannu suna nunawa a cikin bayanan jama'a da ba su da ƙarfi wanda za a iya amfani da su don tantancewa da tantancewa.
Maimakon maɓallai na dindindin, Sigstore yana amfani da maɓallan ephemeral na ɗan gajeren lokaci waɗanda aka ƙirƙira bisa ga takaddun shaidar da masu samar da OpenID Connect suka tabbatar (a lokacin samar da maɓallan da suka wajaba don ƙirƙirar sa hannu na dijital, mai haɓakawa yana gano kansa ta hanyar mai ba da OpenID tare da ɗaure imel. ). An tabbatar da sahihancin maɓallan ta hanyar bayanan jama'a, wanda ke ba ka damar tabbatar da cewa marubucin sa hannun shine ainihin wanda ya ce shi ne, kuma ɗan takara ɗaya ne ya kafa sa hannun wanda ke da alhakin fitar da baya.
Shirye-shiryen Sigstore don aiwatarwa ya faru ne saboda samuwar sabbin abubuwa biyu masu mahimmanci - Rekor 1.0 da Fulcio 1.0, waɗanda aka ayyana mu'amalar shirye-shiryensu a tsaye kuma daga yanzu suna riƙe da daidaituwar baya. An rubuta abubuwan haɗin sabis a cikin Go kuma ana rarraba su ƙarƙashin lasisin Apache 2.0.
Bangaren Rekor yana ƙunshe da aiwatar da log ɗin don adana bayanan da aka sa hannu a lambobi wanda ke nuna bayanai game da ayyuka. Don tabbatar da gaskiya da kariya daga cin hanci da rashawa, ana amfani da tsarin bishiyar Merkle Tree wanda kowane reshe ke tabbatar da duk rassa da nodes ta hanyar haɗin gwiwa (bishiyar) hashing. Samun hash na ƙarshe, mai amfani zai iya tabbatar da daidaiton duk tarihin ayyukan da aka yi, da kuma daidaitattun jihohin da suka gabata na ma'ajin bayanai (ana ƙididdige tushen hash ɗin sabon yanayin bayanan da aka yi la'akari da yanayin da ya gabata. ). Ana ba da API RESTful don tabbatarwa da ƙara sabbin bayanai, da kuma ƙirar layin umarni.
Bangaren Fulcio (SigStore WebPKI) ya haɗa da tsarin ƙirƙirar hukumomin takaddun shaida (tushen CAs) waɗanda ke ba da takaddun shaida na ɗan gajeren lokaci dangane da imel ɗin da aka inganta ta hanyar Haɗin OpenID. Rayuwar takardar shaidar shine minti 20, wanda dole ne mai haɓakawa ya sami lokaci don samar da sa hannu na dijital (idan a nan gaba takaddun shaida ya fada hannun maharan, zai riga ya ƙare). Bugu da ƙari, aikin yana haɓaka kayan aikin Cosign (Container Signing), wanda aka ƙera don samar da sa hannu don kwantena, tabbatar da sa hannu da sanya kwantena da aka sanya hannu a cikin ma'ajiyar da suka dace da OCI (Buɗe Kwantena Initiative).
Gabatarwar Sigstore yana ba da damar haɓaka tsaro na tashoshi na rarraba software da kuma kariya daga hare-haren da ke nufin musanya ɗakunan karatu da abin dogaro (sarkar kaya). Ɗaya daga cikin mahimman batutuwan tsaro a cikin buɗaɗɗen software shine wahalar tabbatar da tushen shirin da kuma tabbatar da tsarin ginawa. Misali, yawancin ayyukan suna amfani da hashes don bincika amincin sakin, amma sau da yawa ana adana bayanan da ake buƙata don tantancewa akan tsarin da ba su da kariya kuma a cikin ma'ajin da aka raba tare da lambar, sakamakon wanda, idan aka daidaita, maharan na iya maye gurbin fayilolin da suka wajaba don tabbatarwa kuma, ba tare da tayar da zato ba, gabatar da canje-canje masu muni.
Amfani da sa hannun dijital don tabbatar da sakin bai riga ya yaɗu ba saboda wahalhalu a cikin sarrafa maɓalli, rarraba maɓallan jama'a, da soke maɓallan da ba su dace ba. Domin tabbatarwa ya zama mai ma'ana, ana kuma buƙatar tsara ingantaccen tsari mai aminci don rarraba maɓallan jama'a da cak. Ko da tare da sa hannu na dijital, yawancin masu amfani suna watsi da tabbatarwa saboda yana ɗaukar lokaci don koyan tsarin tabbatarwa kuma fahimtar wane maɓalli ne amintacce. Aikin Sigstore yana ƙoƙarin sauƙaƙe da sarrafa sarrafa waɗannan hanyoyin ta hanyar samar da ingantaccen tsari da ingantaccen bayani.
source: budenet.ru