Google Sigstore жобасын құрайтын құрамдастардың алғашқы тұрақты шығарылымдарын құру туралы жариялады, ол жұмыс енгізулерді құруға жарамды деп жарияланды. Sigstore электрондық цифрлық қолтаңбаны пайдалана отырып бағдарламалық қамтамасыз етуді тексеруге арналған құралдар мен қызметтерді әзірлейді және өзгерістердің түпнұсқалығын растайтын жалпы журналды жүргізеді (мөлдірлік журналы). Жоба Linux Foundation коммерциялық емес ұйымының демеушілігімен Google, Red Hat, Cisco, vmWare, GitHub және HP Enterprise компанияларымен OpenSSF (Open Source Security Foundation) ұйымының және Purdue университетінің қатысуымен әзірленуде.
Sigstore кодты сандық қол қоюға арналған сертификаттарды және тексеруді автоматтандыруға арналған құралдарды ұсынатын Let's Encrypt код ретінде қарастыруға болады. Sigstore көмегімен әзірлеушілер шығарылым файлдары, контейнер кескіндері, манифесттер және орындалатын файлдар сияқты қолданбаға қатысты артефактілерге сандық қол қоя алады. Қол қою материалы тексеру және тексеру үшін пайдаланылуы мүмкін бұрмалануға қарсы ашық журналда көрсетіледі.
Тұрақты кілттердің орнына, Sigstore қысқа мерзімді эфемерлі кілттерді пайдаланады, олар OpenID Connect провайдерлері растаған тіркелгі деректері негізінде жасалады (цифрлық қолтаңбаны жасау үшін қажетті кілттерді жасау кезінде әзірлеуші желіге қосылған OpenID провайдері арқылы өзін анықтайды. электрондық пошта). Кілттердің түпнұсқалығы жалпыға қолжетімді орталықтандырылған журналдың көмегімен тексеріледі, бұл қолтаңбаның авторы дәл өзі мәлімдеген адам екенін және қолтаңбаны бұрынғы шығарылымдарға жауапты сол қатысушы жасағанын тексеруге мүмкіндік береді.
Sigstore іске асыруға дайындығы екі негізгі құрамдастардың – Rekor 1.0 және Fulcio 1.0 шығарылымдарының қалыптасуымен байланысты, олардың бағдарламалық интерфейстері тұрақты деп жарияланды және артқа қарай үйлесімді болады. Қызмет компоненттері Go бағдарламасында жазылған және Apache 2.0 лицензиясы бойынша таратылады.
Rekor компоненті жобалар туралы ақпаратты көрсететін сандық қолтаңбаланған метадеректерді сақтауға арналған журналды іске асыруды қамтиды. Тұтастығын қамтамасыз ету және фактіден кейін деректердің бүлінуінен қорғау үшін Merkle Tree ағаш құрылымы пайдаланылады, онда әрбір тармақ бірлескен (ағаш) хэшинг арқылы барлық негізгі тармақтар мен түйіндерді тексереді. Соңғы хэшке ие бола отырып, пайдаланушы барлық операциялар тарихының дұрыстығын, сондай-ақ дерекқордың өткен күйлерінің дұрыстығын тексере алады (деректер қорының жаңа күйінің түбірлік тексеру хэші өткен күйді ескере отырып есептеледі. ). Тексеру және жаңа жазбаларды қосу үшін RESTful API, сондай-ақ пәрмен жолы интерфейсі ұсынылады.
Fulcio компоненті (SigStore WebPKI) OpenID Connect арқылы аутентификацияланған электрондық пошта негізінде қысқа мерзімді сертификаттар беретін сертификаттау органдарын (түбірлік CA) құру жүйесін қамтиды. Сертификаттың қызмет ету мерзімі 20 минутты құрайды, оның барысында әзірлеушіде ЭЦҚ генерациялау уақыты болуы керек (егер сертификат кейінірек шабуылдаушының қолына түссе, оның мерзімі өтіп кетеді). Сонымен қатар, жоба контейнерлер үшін қолтаңбаларды генерациялауға, қолтаңбаларды тексеруге және қол қойылған контейнерлерді OCI (Open Container Initiative) үйлесімді репозитарийлерге орналастыруға арналған Cosign (Container Signing) құралдар жинағын әзірлеуде.
Sigstore енгізу бағдарламаны тарату арналарының қауіпсіздігін арттыруға және кітапханалар мен тәуелділіктерді (жеткізу тізбегі) ауыстыруға бағытталған шабуылдардан қорғауға мүмкіндік береді. Ашық бастапқы бағдарламалық қамтамасыз етудегі негізгі қауіпсіздік мәселелерінің бірі бағдарламаның көзін тексеру және құрастыру процесін тексеру қиындығы болып табылады. Мысалы, жобалардың көпшілігі шығарылымның тұтастығын тексеру үшін хэштерді пайдаланады, бірақ көбінесе аутентификацияға қажетті ақпарат қорғалмаған жүйелерде және ортақ код репозиторийлерінде сақталады, нәтижесінде шабуылдаушылар тексеруге қажетті файлдарды бұзып, зиянды өзгерістер енгізе алады. күдік туғызбай.
Кілттерді басқару, ашық кілттерді тарату және бұзылған кілттерді қайтарып алу қиындықтарына байланысты шығарылымды тексеру үшін цифрлық қолтаңбаны пайдалану әлі де кең тараған жоқ. Тексерудің мағынасы болуы үшін ашық кілттер мен бақылау сомасын таратудың сенімді және қауіпсіз процесін ұйымдастыру қажет. Тіпті цифрлық қолтаңбаның өзінде көптеген пайдаланушылар тексеруді елемейді, өйткені олар тексеру процесін үйренуге және қай кілттің сенімді екенін түсінуге уақыт бөлуі керек. Sigstore жобасы дайын және дәлелденген шешімді ұсына отырып, осы процестерді жеңілдетуге және автоматтандыруға тырысады.
Ақпарат көзі: opennet.ru