Red Hat және Google компаниясы Purdue университетімен бірге сандық қолтаңбаны пайдалана отырып бағдарламалық қамтамасыз етуді тексеруге арналған құралдар мен қызметтерді жасауға және түпнұсқалықты растау үшін жалпы журналды жүргізуге бағытталған Sigstore жобасын құрды (мөлдірлік журналы). Жоба Linux Foundation коммерциялық емес ұйымының демеушілігімен әзірленеді.
Ұсынылған жоба бағдарламалық қамтамасыз етуді тарату арналарының қауіпсіздігін жақсартады және бағдарламалық қамтамасыз ету компоненттері мен тәуелділіктерін (жеткізу тізбегі) ауыстыруға бағытталған шабуылдардан қорғайды. Ашық бастапқы бағдарламалық қамтамасыз етудегі негізгі қауіпсіздік мәселелерінің бірі бағдарламаның көзін тексеру және құрастыру процесін тексеру қиындығы болып табылады. Мысалы, жобалардың көпшілігі шығарылымның тұтастығын тексеру үшін хэштерді пайдаланады, бірақ көбінесе аутентификацияға қажетті ақпарат қорғалмаған жүйелерде және ортақ код репозиторийлерінде сақталады, нәтижесінде шабуылдаушылар тексеруге қажетті файлдарды бұзып, зиянды өзгерістер енгізе алады. күдік туғызбай.
Кілттерді басқару, ашық кілттерді тарату және бұзылған кілттерді қайтарып алу қиындықтарына байланысты шығарылымдарды тарату кезінде жобалардың аз ғана бөлігі цифрлық қолтаңбаны пайдаланады. Тексерудің мағынасы болуы үшін ашық кілттер мен бақылау сомасын таратудың сенімді және қауіпсіз процесін ұйымдастыру қажет. Тіпті цифрлық қолтаңбаның өзінде көптеген пайдаланушылар тексеруді елемейді, өйткені олар тексеру процесін зерттеуге және қай кілттің сенімді екенін түсінуге уақыт бөлуі керек.
Sigstore кодқа сандық қол қоюға арналған сертификаттарды және тексеруді автоматтандыру құралдарын ұсынатын Let's Encrypt кодының баламасы ретінде бағаланады. Sigstore көмегімен әзірлеушілер шығарылым файлдары, контейнер кескіндері, манифесттер және орындалатын файлдар сияқты қолданбаға қатысты артефактілерге сандық қол қоя алады. Sigstore-дың ерекшелігі - қол қою үшін пайдаланылған материал тексеру және тексеру үшін пайдаланылуы мүмкін бұрмаланбаған жалпыға қолжетімді журналда көрсетіледі.
Тұрақты кілттердің орнына Sigstore қысқа мерзімді эфемерлі кілттерді пайдаланады, олар OpenID Connect провайдерлері растаған тіркелгі деректері негізінде жасалады (цифрлық қолтаңба үшін кілттерді жасау кезінде әзірлеуші электрондық поштамен байланысқан OpenID провайдері арқылы өзін анықтайды). Кілттердің түпнұсқалығы жалпыға қолжетімді орталықтандырылған журналдың көмегімен тексеріледі, бұл қолдың авторы дәл өзі мәлімдеген адам екенін және қолтаңбаны бұрынғы шығарылымдарға жауапты сол қатысушы жасағанын тексеруге мүмкіндік береді.
Sigstore сіз қазірдің өзінде пайдалануға болатын дайын қызметті де, сондай-ақ өзіңіздің жабдықта ұқсас қызметтерді орналастыруға мүмкіндік беретін құралдар жиынтығын ұсынады. Қызмет барлық әзірлеушілер мен бағдарламалық қамтамасыз ету провайдерлері үшін ақысыз және бейтарап платформада - Linux Foundation-да орналастырылған. Қызметтің барлық құрамдас бөліктері Go бағдарламасында жазылған және Apache 2.0 лицензиясы бойынша таратылатын ашық бастапқы болып табылады.
Әзірленген компоненттердің арасында мыналарды атап өтуге болады:
- Rekor – жобалар туралы ақпаратты көрсететін цифрлық қолтаңбасы бар метадеректерді сақтауға арналған журналды іске асыру. Біртұтастығын қамтамасыз ету және фактіден кейін деректердің бүлінуінен қорғау үшін ағаш тәрізді «Merkle Tree» құрылымы пайдаланылады, онда әрбір тармақ бірлескен (ағаш тәрізді) хэшингтің арқасында барлық негізгі тармақтар мен түйіндерді тексереді. Соңғы хэшке ие бола отырып, пайдаланушы барлық операциялар тарихының дұрыстығын, сондай-ақ дерекқордың өткен күйлерінің дұрыстығын тексере алады (деректер қорының жаңа күйінің түбірлік тексеру хэші өткен күйді ескере отырып есептеледі. ). Жаңа жазбаларды тексеру және қосу үшін Restful API, сонымен қатар cli интерфейсі қамтамасыз етіледі.
- Fulcio (SigStore WebPKI) — OpenID Connect арқылы аутентификацияланған электрондық пошта негізінде қысқа мерзімді сертификаттар беретін сертификаттау органдарын (Root-CA) құруға арналған жүйе. Сертификаттың қызмет ету мерзімі 20 минутты құрайды, оның барысында әзірлеушіде ЭЦҚ генерациялау уақыты болуы керек (егер сертификат кейінірек шабуылдаушының қолына түссе, оның мерзімі өтіп кеткен болады).
- Сosign (Container Signing) – контейнерлер үшін қолтаңбаларды қалыптастыруға, қолтаңбаларды тексеруге және қол қойылған контейнерлерді OCI (Open Container Initiative) үйлесімді репозитарийлерге орналастыруға арналған құрал.
Ақпарат көзі: opennet.ru