GitHub setti til umræðu tillögu um að kynna Sigstore þjónustuna til að sannreyna pakka með stafrænum undirskriftum og viðhalda opinberri annál til að staðfesta áreiðanleika útgáfur sem dreift er. Notkun Sigstore mun veita aukna vernd gegn árásum sem miða að því að skipta út hugbúnaðarhlutum og ósjálfstæðum (birgðakeðju). Til dæmis mun útfærða breytingin vernda frumkóða verkefna í því tilviki að þróunarreikningur eins af ósjálfstæðum í NPM er í hættu og árásarmaðurinn býr til uppfærslu á pakkanum með skaðlegum kóða.
Þökk sé nýju verndarstigi munu verktaki geta tengt myndaða pakkann við notaðan frumkóða og byggingarumhverfi, sem gefur notandanum tækifæri til að sannreyna að innihald pakkans samsvari innihaldi heimildanna í aðalverkefninu. geymsla. Notkun Sigstore einfaldar lyklastjórnunarferlið til muna og útilokar flókið sem tengist skráningu, afturköllun og umsjón með dulmálslyklum. Sigstore er kallað jafngildi Let's Encrypt fyrir kóða, sem veitir vottorð fyrir stafræna undirritun kóða og verkfæri til að gera sjálfvirkan sannprófun.
Í stað varanlegra lykla notar Sigstore skammlífa skammlífa lykla sem eru búnir til út frá skilríkjum. Efnið sem notað er fyrir undirskriftina endurspeglast í innbrotsvörnum opinberri annál, sem gerir þér kleift að sannreyna að höfundur undirskriftarinnar sé nákvæmlega sá sem hann segist vera, og undirskriftin var búin til af sama þátttakanda og var ábyrgur fyrir fyrri útgáfum . Til að tryggja heilleika og vernda gegn spillingu gagna eftir á, er Merkle Tree trébygging notuð, þar sem hver grein sannreynir allar undirliggjandi greinar og hnúta með sameiginlegum (tré) hashing. Með endanlegri kjötkássa getur notandinn sannreynt réttmæti allrar aðgerðasögunnar, sem og réttmæti fyrri ástands gagnagrunnsins (rótarstaðfestingarkássið í nýju ástandi gagnagrunnsins er reiknað með hliðsjón af fyrra ástandi ).
Heimild: opennet.ru
