Ua hoʻolaha ʻo Google i nā hoʻokuʻu paʻa mua o nā ʻāpana e hana ana i ka papahana Sigstore, kahi i haʻi ʻia ua mākaukau no ka hoʻolaha ʻana. Hoʻomohala ʻo Sigstore i nā mea hana a me nā lawelawe no ka hōʻoia polokalamu me ka hoʻohana ʻana i nā pūlima kikohoʻe a me ka mālama ʻana i kahi log lehulehu e hōʻoia ana i ka ʻoiaʻiʻo o nā loli (transparency log). Ke hoʻomohala ʻia nei ka papahana ma lalo o ka malu o kahi hui waiwai ʻole. Linux Hoʻokumu ʻia e Google, Red Hat, Cisco, vmWare, GitHub, a me HP Enterprise, me ke komo ʻana mai ka Open Source Security Foundation (OpenSSF) a me ke Kulanui ʻo Purdue.
Hiki ke manaʻo ʻia ʻo Sigstore he Let's Encrypt no ke code, e hāʻawi ana i nā palapala hōʻoia no ke kau inoa ʻana i nā code a me nā mea hana no ka hōʻoia ʻana. Me Sigstore, hiki i nā mea hoʻomohala ke hoʻopaʻa inoa i nā mea hana e pili ana i ka noi e like me ka hoʻokuʻu ʻana i nā faila, nā kiʻi pahu, nā hōʻike, a me nā mea hoʻokō. Hōʻike ʻia nā mea i hoʻohana ʻia no ka hoʻopaʻa inoa ʻana i loko o kahi log lehulehu hiki ke hoʻohana ʻia no ka hōʻoia a me ka loiloi.
Ma kahi o nā kī paʻa, hoʻohana ʻo Sigstore i nā kī ephemeral pōkole i hana ʻia ma muli o nā hōʻoia i hōʻoia ʻia e nā mea hoʻolako OpenID Connect (i ka manawa o ka hana ʻana i nā kī e pono ai e hana i kahi pūlima kikohoʻe, ʻike ka mea hoʻomohala iā ia iho ma o ka OpenID provider me ka leka uila. ). ʻO kaʻoiaʻiʻo o nā kī e hōʻoiaʻiʻoʻia e ka lehulehu centralized log, e hiki ai iāʻoe ke hōʻoiaʻiʻo i ka mea kākau o ka pūlima i ka mea āna i koi ai, a ua hoʻokumuʻia ka pūlima e ka mea i komo i ke kuleana no nā hoʻopuka mua.
ʻO ka mākaukau o Sigstore no ka hoʻokō ʻana ma muli o ka hoʻokumu ʻia ʻana o nā ʻāpana koʻikoʻi ʻelua - Rekor 1.0 a me Fulcio 1.0, nona nā polokalamu hoʻonohonoho i haʻi paʻa ʻia a ma hope aku e hoʻomau i ka hoʻohālikelike ʻana. Ua kākau ʻia nā ʻāpana lawelawe ma Go a māhele ʻia ma lalo o ka laikini Apache 2.0.
Loaʻa i ka ʻāpana Rekor kahi hoʻokō log no ka mālama ʻana i nā metadata i hoʻopaʻa inoa ʻia e hōʻike ana i ka ʻike e pili ana i nā papahana. No ka hōʻoia ʻana i ka pono a me ka pale ʻana i ka palaho ʻikepili, hoʻohana ʻia kahi ʻano kumu lāʻau Merkle Tree kahi e hōʻoia ai kēlā me kēia lālā i nā lālā lalo a me nā nodes ma o ka hashing hui (lāʻau). Loaʻa ka hash hope loa, hiki i ka mea hoʻohana ke hōʻoia i ka pololei o ka mōʻaukala holoʻokoʻa o nā hana, a me ka pololei o nā mokuʻāina i hala o ka waihona (ua helu ʻia ka hash hōʻoia aʻa o ka mokuʻāina hou o ka waihona me ka noʻonoʻo ʻana i ka mokuʻāina i hala. ). Hāʻawi ʻia kahi RESTful API no ka hōʻoia ʻana a me ka hoʻohui ʻana i nā moʻolelo hou, a me kahi interface laina kauoha.
Aia i loko o ka ʻāpana Fulcio (SigStore WebPKI) kahi ʻōnaehana no ka hana ʻana i nā mana palapala (root CAs) e hoʻopuka ana i nā palapala hōʻoia pōkole e pili ana i ka leka uila i hōʻoia ʻia ma OpenID Connect. ʻO ke ola o ka palapala hōʻoia he 20 mau minuke, kahi e loaʻa ai i ka mea hoʻomohala ka manawa e hana ai i kahi pūlima kikohoʻe (inā i ka wā e hiki mai ana ka palapala hōʻoia i ka lima o ka mea hoʻouka, ua pau ia). Hoʻohui hou, hoʻomohala ka papahana i ka mea hana Cosign (Container Signing), i hoʻolālā ʻia e hana i nā pūlima no nā ipu, hōʻoia i nā pūlima a kau i nā ipu i hoʻopaʻa ʻia i loko o nā waihona i kūpono me OCI (Open Container Initiative).
ʻO ka hoʻomaka ʻana o Sigstore hiki ke hoʻonui i ka palekana o nā kaila hoʻolaha polokalamu a pale aku i nā hoʻouka ʻana i manaʻo ʻia e hoʻololi i nā hale waihona puke a me nā hilinaʻi (chain supply). ʻO kekahi o nā pilikia palekana koʻikoʻi i ka polokalamu open source ka paʻakikī o ka hōʻoia ʻana i ke kumu o ka papahana a me ka hōʻoia ʻana i ke kaʻina hana. No ka laʻana, hoʻohana ka hapa nui o nā papahana i nā hashes e nānā i ka pono o ka hoʻokuʻu ʻana, akā pinepine ka ʻike e pono ai no ka hōʻoia ʻana e mālama ʻia ma nā ʻōnaehana pale ʻole a i loko o nā waihona waihona me nā code, no laila, inā hoʻopaʻapaʻa, hiki i nā mea hoʻouka ke hoʻololi i nā faila e pono ai. hōʻoia a, me ka hoʻāla ʻole ʻana i ka kānalua, hoʻokomo i nā loli ʻino.
ʻAʻole i laha loa ka hoʻohana ʻana i nā pūlima kikohoʻe no ka hoʻokuʻu ʻia ʻana ma muli o ka paʻakikī o ka hoʻokele kī, ka hāʻawi ʻana i nā kī lehulehu, a me ka hoʻopau ʻana i nā kī i hoʻopaʻa ʻia. I mea e maopopo ai ka hōʻoia ʻana, pono e hoʻonohonoho i kahi kaʻina hana hilinaʻi a paʻa no ka hāʻawi ʻana i nā kī ākea a me nā checksums. ʻOiai me kahi pūlima kikohoʻe, nui nā mea hoʻohana e hoʻowahāwahā i ka hōʻoia ʻana no ka mea he manawa e aʻo ai i ke kaʻina hana hōʻoia a hoʻomaopopo i ke kī i hilinaʻi ʻia. Ke ho'āʻo nei ka papahana Sigstore e hoʻomaʻamaʻa a hoʻomaʻamaʻa i kēia mau kaʻina hana ma o ka hāʻawi ʻana i kahi hoʻonā mākaukau a hōʻoia ʻia.
Source: opennet.ru
