Ua hoʻokumu ʻo Red Hat a me Google, me ke Kulanui ʻo Purdue, i ka papahana Sigstore, i manaʻo ʻia e hana i nā mea hana a me nā lawelawe no ka hōʻoia ʻana i nā polokalamu me ka hoʻohana ʻana i nā pūlima kikohoʻe a me ka mālama ʻana i kahi moʻolelo lehulehu e hōʻoia i ka ʻoiaʻiʻo (log transparency). E hoʻomohala ʻia ka papahana ma lalo o ke kākoʻo o ka hui non-profit Linux Foundation.
ʻO ka papahana i manaʻo ʻia e hoʻomaikaʻi i ka palekana o nā kaila hoʻolaha polokalamu a pale aku i nā hoʻouka ʻana i manaʻo ʻia e hoʻololi i nā ʻāpana polokalamu a me nā mea hilinaʻi (chain supply). ʻO kekahi o nā pilikia palekana koʻikoʻi i ka polokalamu open source ka paʻakikī o ka hōʻoia ʻana i ke kumu o ka papahana a me ka hōʻoia ʻana i ke kaʻina hana. No ka laʻana, hoʻohana ka hapa nui o nā papahana i nā hashes e hōʻoia i ka pono o ka hoʻokuʻu ʻana, akā pinepine ka ʻike e pono ai no ka hōʻoia ʻana e mālama ʻia ma nā ʻōnaehana pale ʻole a ma nā waihona waihona code share, no laila hiki i nā mea hoʻouka ke hoʻololi i nā faila e pono ai no ka hōʻoia a hoʻokomo i nā loli maikaʻi ʻole. me ka hoohuoi ole.
ʻO kahi hapa liʻiliʻi wale nō o nā papahana e hoʻohana i nā pūlima kikohoʻe i ka wā e puʻunaue ai i nā hoʻokuʻu ma muli o ka paʻakikī o ka mālama ʻana i nā kī, ka hāʻawi ʻana i nā kī lehulehu, a me ka hoʻopau ʻana i nā kī i hoʻopaʻa ʻia. I mea e maopopo ai ka hōʻoia ʻana, pono nō hoʻi e hoʻonohonoho i kahi kaʻina hana hilinaʻi a paʻa no ka hāʻawi ʻana i nā kī ākea a me nā checksums. ʻOiai me kahi pūlima kikohoʻe, nui nā mea hoʻohana e hōʻole i ka hōʻoia no ka mea pono lākou e hoʻolilo i ka manawa e aʻo ai i ke kaʻina hana hōʻoia a hoʻomaopopo i ke kī i hilinaʻi ʻia.
Ua kapa ʻia ʻo Sigstore e like me ka Let's Encrypt no ke code, e hāʻawi ana i nā palapala hōʻoia no ke kau inoa ʻana i nā code a me nā mea hana no ka hōʻoia ʻana. Me Sigstore, hiki i nā mea hoʻomohala ke hoʻopaʻa inoa i nā mea hana e pili ana i ka noi e like me ka hoʻokuʻu ʻana i nā faila, nā kiʻi pahu, nā hōʻike, a me nā mea hoʻokō. ʻO kahi hiʻohiʻona kūikawā o Sigstore ʻo ia ka mea i hoʻohana ʻia no ka hoʻopaʻa inoa ʻana i hōʻike ʻia i loko o kahi log lehulehu hiki ke hoʻohana ʻia no ka hōʻoia a me ka loiloi.
Ma kahi o nā kī paʻa, hoʻohana ʻo Sigstore i nā kī ephemeral pōkole, i hana ʻia ma muli o nā hōʻoia i hoʻopaʻa ʻia e nā mea hoʻolako OpenID Connect (i ka manawa o ka hana ʻana i nā kī no kahi pūlima kikohoʻe, ʻike ka mea hoʻomohala iā ia iho ma o kahi mea lawelawe OpenID i hoʻopili ʻia i kahi leka uila). ʻO kaʻoiaʻiʻo o nā kī i hōʻoiaʻia me ka hoʻohanaʻana i ka log centralized public, kahi e hiki ai ke hōʻoiaʻiʻo i ka mea kākau o ka pūlima pololei ka mea āna i'ōlelo ai a ua hoʻokumuʻia ka pūlima e ka mea hoʻokahi i kuleana no nā hoʻokuʻu i hala.
Hāʻawi ʻo Sigstore i kahi lawelawe i mākaukau i hiki iā ʻoe ke hoʻohana mua, a me kahi pūʻulu o nā mea hana e hiki ai iā ʻoe ke kau i nā lawelawe like ma kāu mau lako ponoʻī. He manuahi ka lawelawe no nā mea hoʻomohala a me nā mea hoʻolako lako polokalamu, a ua kau ʻia ma kahi kahua kūʻokoʻa - ka Linux Foundation. ʻO nā ʻāpana āpau o ka lawelawe he kumu wehe, kākau ʻia ma Go a māhele ʻia ma lalo o ka laikini Apache 2.0.
Ma waena o nā mea i kūkuluʻia e hiki iā mākou ke hoʻomaopopo:
- ʻO Rekor kahi hoʻokō lāʻau no ka mālama ʻana i nā metadata i hoʻopaʻa inoa ʻia e hōʻike ana i ka ʻike e pili ana i nā papahana. No ka hōʻoia ʻana i ka pono a me ka pale ʻana i ka palaho ʻikepili ma hope o ka ʻoiaʻiʻo, ua hoʻohana ʻia kahi ʻano kumu lāʻau "Merkle Tree", kahi e hōʻoia ai kēlā me kēia lālā i nā lālā lalo a me nā nodes, mahalo i ka hashing hui (like lāʻau). I ka loaʻa ʻana o ka hash hope, hiki i ka mea hoʻohana ke hōʻoia i ka pololei o ka mōʻaukala holoʻokoʻa o nā hana, a me ka pololei o nā mokuʻāina i hala o ka waihona (ua helu ʻia ka hash hōʻoia aʻa o ka mokuʻāina hou o ka waihona. ). No ka hōʻoia a hoʻohui i nā moʻolelo hou, ua hāʻawi ʻia kahi Restful API, a me kahi interface cli.
- ʻO Fulcio (SigStore WebPKI) kahi ʻōnaehana no ka hana ʻana i nā mana hōʻoia (Root-CAs) e hoʻopuka ana i nā palapala hōʻoia pōkole e pili ana i ka leka uila i hōʻoia ʻia ma OpenID Connect. ʻO ke ola o ka palapala hōʻoia he 20 mau minuke, kahi e loaʻa ai i ka mea hoʻomohala ka manawa e hana ai i kahi pūlima kikohoʻe (inā hāʻule ka palapala hōʻoia i ka lima o ka mea hoʻouka, e pau ana ia).
- ʻO Сosign (Container Signing) kahi mea hana no ka hana ʻana i nā pūlima no nā ipu, ka hōʻoia ʻana i nā pūlima a me ka waiho ʻana i nā ipu i hoʻopaʻa ʻia i loko o nā waihona i kūpono me OCI (Open Container Initiative).
Source: opennet.ru