ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > Red Hat ಮತ್ತು Google ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕೋಡ್ ಪರಿಶೀಲನೆಗಾಗಿ ಸಿಗ್‌ಸ್ಟೋರ್ ಸೇವೆಯನ್ನು ಪರಿಚಯಿಸಿತು

Red Hat ಮತ್ತು Google ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕೋಡ್ ಪರಿಶೀಲನೆಗಾಗಿ ಸಿಗ್‌ಸ್ಟೋರ್ ಸೇವೆಯನ್ನು ಪರಿಚಯಿಸಿತು

Red Hat ಮತ್ತು Google, ಪರ್ಡ್ಯೂ ವಿಶ್ವವಿದ್ಯಾನಿಲಯದೊಂದಿಗೆ ಸಿಗ್‌ಸ್ಟೋರ್ ಯೋಜನೆಯನ್ನು ಸ್ಥಾಪಿಸಿದವು, ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್‌ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ಪರಿಶೀಲಿಸಲು ಮತ್ತು ದೃಢೀಕರಣವನ್ನು ಖಚಿತಪಡಿಸಲು ಸಾರ್ವಜನಿಕ ಲಾಗ್ ಅನ್ನು ನಿರ್ವಹಿಸುವ ಸಾಧನಗಳು ಮತ್ತು ಸೇವೆಗಳನ್ನು ರಚಿಸುವ ಗುರಿಯನ್ನು ಹೊಂದಿದೆ (ಪಾರದರ್ಶಕತೆ ಲಾಗ್). ಲಾಭರಹಿತ ಸಂಸ್ಥೆ ಲಿನಕ್ಸ್ ಫೌಂಡೇಶನ್ ಆಶ್ರಯದಲ್ಲಿ ಯೋಜನೆಯನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗುವುದು.

ಪ್ರಸ್ತಾವಿತ ಯೋಜನೆಯು ಸಾಫ್ಟ್‌ವೇರ್ ವಿತರಣಾ ಚಾನಲ್‌ಗಳ ಸುರಕ್ಷತೆಯನ್ನು ಸುಧಾರಿಸುತ್ತದೆ ಮತ್ತು ಸಾಫ್ಟ್‌ವೇರ್ ಘಟಕಗಳು ಮತ್ತು ಅವಲಂಬನೆಗಳನ್ನು (ಪೂರೈಕೆ ಸರಪಳಿ) ಬದಲಿಸುವ ಗುರಿಯನ್ನು ಹೊಂದಿರುವ ದಾಳಿಯಿಂದ ರಕ್ಷಿಸುತ್ತದೆ. ಓಪನ್ ಸೋರ್ಸ್ ಸಾಫ್ಟ್‌ವೇರ್‌ನಲ್ಲಿನ ಪ್ರಮುಖ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳೆಂದರೆ ಪ್ರೋಗ್ರಾಂನ ಮೂಲವನ್ನು ಪರಿಶೀಲಿಸುವ ಮತ್ತು ನಿರ್ಮಾಣ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪರಿಶೀಲಿಸುವ ತೊಂದರೆ. ಉದಾಹರಣೆಗೆ, ಹೆಚ್ಚಿನ ಪ್ರಾಜೆಕ್ಟ್‌ಗಳು ಬಿಡುಗಡೆಯ ಸಮಗ್ರತೆಯನ್ನು ಪರಿಶೀಲಿಸಲು ಹ್ಯಾಶ್‌ಗಳನ್ನು ಬಳಸುತ್ತವೆ, ಆದರೆ ದೃಢೀಕರಣಕ್ಕೆ ಅಗತ್ಯವಾದ ಮಾಹಿತಿಯನ್ನು ಅಸುರಕ್ಷಿತ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಮತ್ತು ಹಂಚಿಕೆಯ ಕೋಡ್ ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ, ಇದರ ಪರಿಣಾಮವಾಗಿ ದಾಳಿಕೋರರು ಪರಿಶೀಲನೆಗೆ ಅಗತ್ಯವಾದ ಫೈಲ್‌ಗಳನ್ನು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಬಹುದು ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ ಬದಲಾವಣೆಗಳನ್ನು ಪರಿಚಯಿಸಬಹುದು. ಅನುಮಾನವನ್ನು ಹೆಚ್ಚಿಸದೆ.

ಕೀಲಿಗಳನ್ನು ನಿರ್ವಹಿಸುವುದು, ಸಾರ್ವಜನಿಕ ಕೀಲಿಗಳನ್ನು ವಿತರಿಸುವುದು ಮತ್ತು ರಾಜಿಯಾದ ಕೀಗಳನ್ನು ಹಿಂತೆಗೆದುಕೊಳ್ಳುವಲ್ಲಿನ ತೊಂದರೆಗಳಿಂದಾಗಿ ಬಿಡುಗಡೆಗಳನ್ನು ವಿತರಿಸುವಾಗ ಸಣ್ಣ ಪ್ರಮಾಣದ ಯೋಜನೆಗಳು ಡಿಜಿಟಲ್ ಸಹಿಯನ್ನು ಬಳಸುತ್ತವೆ. ಪರಿಶೀಲನೆಯು ಅರ್ಥಪೂರ್ಣವಾಗಲು, ಸಾರ್ವಜನಿಕ ಕೀಗಳು ಮತ್ತು ಚೆಕ್‌ಸಮ್‌ಗಳನ್ನು ವಿತರಿಸಲು ವಿಶ್ವಾಸಾರ್ಹ ಮತ್ತು ಸುರಕ್ಷಿತ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಆಯೋಜಿಸುವುದು ಸಹ ಅಗತ್ಯವಾಗಿದೆ. ಡಿಜಿಟಲ್ ಸಹಿಯೊಂದಿಗೆ ಸಹ, ಅನೇಕ ಬಳಕೆದಾರರು ಪರಿಶೀಲನೆಯನ್ನು ನಿರ್ಲಕ್ಷಿಸುತ್ತಾರೆ ಏಕೆಂದರೆ ಅವರು ಪರಿಶೀಲನೆ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಅಧ್ಯಯನ ಮಾಡಲು ಮತ್ತು ಯಾವ ಕೀ ವಿಶ್ವಾಸಾರ್ಹವಾಗಿದೆ ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಸಮಯವನ್ನು ಕಳೆಯಬೇಕಾಗುತ್ತದೆ.

ಸಿಗ್‌ಸ್ಟೋರ್ ಅನ್ನು ಕೋಡ್‌ಗಾಗಿ ಲೆಟ್ಸ್ ಎನ್‌ಕ್ರಿಪ್ಟ್‌ಗೆ ಸಮನಾಗಿರುತ್ತದೆ ಎಂದು ಪ್ರಚಾರ ಮಾಡಲಾಗಿದೆ, ಡಿಜಿಟಲ್ ಸಹಿ ಮಾಡುವ ಕೋಡ್‌ಗಾಗಿ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಮತ್ತು ಪರಿಶೀಲನೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಲು ಸಾಧನಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ. ಸಿಗ್‌ಸ್ಟೋರ್‌ನೊಂದಿಗೆ, ಡೆವಲಪರ್‌ಗಳು ಬಿಡುಗಡೆ ಫೈಲ್‌ಗಳು, ಕಂಟೇನರ್ ಚಿತ್ರಗಳು, ಮ್ಯಾನಿಫೆಸ್ಟ್‌ಗಳು ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದಂತಹ ಅಪ್ಲಿಕೇಶನ್-ಸಂಬಂಧಿತ ಕಲಾಕೃತಿಗಳಿಗೆ ಡಿಜಿಟಲ್ ಸಹಿ ಮಾಡಬಹುದು. ಸಿಗ್‌ಸ್ಟೋರ್‌ನ ವಿಶೇಷ ವೈಶಿಷ್ಟ್ಯವೆಂದರೆ ಸಹಿ ಮಾಡಲು ಬಳಸಲಾದ ವಸ್ತುವು ಟ್ಯಾಂಪರ್-ಪ್ರೂಫ್ ಸಾರ್ವಜನಿಕ ಲಾಗ್‌ನಲ್ಲಿ ಪ್ರತಿಫಲಿಸುತ್ತದೆ, ಅದನ್ನು ಪರಿಶೀಲನೆ ಮತ್ತು ಲೆಕ್ಕಪರಿಶೋಧನೆಗಾಗಿ ಬಳಸಬಹುದು.

ಶಾಶ್ವತ ಕೀಗಳ ಬದಲಿಗೆ, Sigstore ಅಲ್ಪಾವಧಿಯ ಅಲ್ಪಕಾಲಿಕ ಕೀಗಳನ್ನು ಬಳಸುತ್ತದೆ, ಇವುಗಳನ್ನು OpenID ಕನೆಕ್ಟ್ ಪೂರೈಕೆದಾರರು ದೃಢೀಕರಿಸಿದ ರುಜುವಾತುಗಳ ಆಧಾರದ ಮೇಲೆ ರಚಿಸಲಾಗುತ್ತದೆ (ಡಿಜಿಟಲ್ ಸಹಿಗಾಗಿ ಕೀಗಳನ್ನು ರಚಿಸುವ ಸಮಯದಲ್ಲಿ, ಡೆವಲಪರ್ ಇಮೇಲ್‌ಗೆ ಲಿಂಕ್ ಮಾಡಲಾದ OpenID ಪೂರೈಕೆದಾರರ ಮೂಲಕ ತನ್ನನ್ನು ಗುರುತಿಸಿಕೊಳ್ಳುತ್ತಾನೆ). ಕೀಗಳ ದೃಢೀಕರಣವನ್ನು ಸಾರ್ವಜನಿಕ ಕೇಂದ್ರೀಕೃತ ಲಾಗ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಪರಿಶೀಲಿಸಲಾಗುತ್ತದೆ, ಇದು ಸಹಿಯ ಲೇಖಕನು ನಿಖರವಾಗಿ ಅವರು ಎಂದು ಹೇಳಿಕೊಳ್ಳುವುದನ್ನು ಪರಿಶೀಲಿಸಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ ಮತ್ತು ಹಿಂದಿನ ಬಿಡುಗಡೆಗಳಿಗೆ ಜವಾಬ್ದಾರರಾಗಿರುವ ಅದೇ ಭಾಗವಹಿಸುವವರಿಂದ ಸಹಿಯನ್ನು ರಚಿಸಲಾಗಿದೆ.

ಸಿಗ್‌ಸ್ಟೋರ್ ನೀವು ಈಗಾಗಲೇ ಬಳಸಬಹುದಾದ ರೆಡಿಮೇಡ್ ಸೇವೆ ಮತ್ತು ನಿಮ್ಮ ಸ್ವಂತ ಉಪಕರಣಗಳಲ್ಲಿ ಒಂದೇ ರೀತಿಯ ಸೇವೆಗಳನ್ನು ನಿಯೋಜಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುವ ಸಾಧನಗಳ ಸೆಟ್ ಎರಡನ್ನೂ ಒದಗಿಸುತ್ತದೆ. ಈ ಸೇವೆಯು ಎಲ್ಲಾ ಡೆವಲಪರ್‌ಗಳು ಮತ್ತು ಸಾಫ್ಟ್‌ವೇರ್ ಪೂರೈಕೆದಾರರಿಗೆ ಉಚಿತವಾಗಿದೆ ಮತ್ತು ತಟಸ್ಥ ಪ್ಲಾಟ್‌ಫಾರ್ಮ್‌ನಲ್ಲಿ ನಿಯೋಜಿಸಲಾಗಿದೆ - ಲಿನಕ್ಸ್ ಫೌಂಡೇಶನ್. ಸೇವೆಯ ಎಲ್ಲಾ ಘಟಕಗಳು ತೆರೆದ ಮೂಲವಾಗಿದ್ದು, Go ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ ಮತ್ತು Apache 2.0 ಪರವಾನಗಿ ಅಡಿಯಲ್ಲಿ ವಿತರಿಸಲಾಗಿದೆ.

ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ ಘಟಕಗಳಲ್ಲಿ ನಾವು ಗಮನಿಸಬಹುದು:

  • ರೆಕಾರ್ ಎನ್ನುವುದು ಯೋಜನೆಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಪ್ರತಿಬಿಂಬಿಸುವ ಡಿಜಿಟಲ್ ಸಹಿ ಮೆಟಾಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸಲು ಲಾಗ್ ಅನುಷ್ಠಾನವಾಗಿದೆ. ಸಮಗ್ರತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಮತ್ತು ವಾಸ್ತವದ ನಂತರ ಡೇಟಾ ಭ್ರಷ್ಟಾಚಾರದಿಂದ ರಕ್ಷಿಸಲು, ಮರದಂತಹ ರಚನೆಯನ್ನು "ಮರ್ಕಲ್ ಟ್ರೀ" ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಇದರಲ್ಲಿ ಪ್ರತಿಯೊಂದು ಶಾಖೆಯು ಎಲ್ಲಾ ಆಧಾರವಾಗಿರುವ ಶಾಖೆಗಳು ಮತ್ತು ನೋಡ್‌ಗಳನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ, ಜಂಟಿ (ಮರದಂತಹ) ಹ್ಯಾಶಿಂಗ್‌ಗೆ ಧನ್ಯವಾದಗಳು. ಅಂತಿಮ ಹ್ಯಾಶ್ ಅನ್ನು ಹೊಂದಿರುವ, ಬಳಕೆದಾರರು ಸಂಪೂರ್ಣ ಕಾರ್ಯಾಚರಣೆಯ ಇತಿಹಾಸದ ನಿಖರತೆಯನ್ನು ಪರಿಶೀಲಿಸಬಹುದು, ಹಾಗೆಯೇ ಡೇಟಾಬೇಸ್‌ನ ಹಿಂದಿನ ಸ್ಥಿತಿಗಳ ಸರಿಯಾಗಿರುವುದನ್ನು ಪರಿಶೀಲಿಸಬಹುದು (ಡೇಟಾಬೇಸ್‌ನ ಹೊಸ ಸ್ಥಿತಿಯ ಮೂಲ ಪರಿಶೀಲನೆ ಹ್ಯಾಶ್ ಅನ್ನು ಹಿಂದಿನ ಸ್ಥಿತಿಯನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಂಡು ಲೆಕ್ಕಹಾಕಲಾಗುತ್ತದೆ. ) ಹೊಸ ದಾಖಲೆಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಮತ್ತು ಸೇರಿಸಲು, ರೆಸ್ಟ್‌ಫುಲ್ API ಅನ್ನು ಒದಗಿಸಲಾಗಿದೆ, ಜೊತೆಗೆ ಕ್ಲೈ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಒದಗಿಸಲಾಗಿದೆ.
  • Fulcio (SigStore WebPKI) ಎಂಬುದು ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರಗಳನ್ನು (ರೂಟ್-ಸಿಎ) ರಚಿಸುವ ಒಂದು ವ್ಯವಸ್ಥೆಯಾಗಿದ್ದು ಅದು OpenID ಕನೆಕ್ಟ್ ಮೂಲಕ ದೃಢೀಕರಿಸಿದ ಇಮೇಲ್ ಆಧರಿಸಿ ಅಲ್ಪಾವಧಿಯ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನೀಡುತ್ತದೆ. ಪ್ರಮಾಣಪತ್ರದ ಜೀವಿತಾವಧಿಯು 20 ನಿಮಿಷಗಳು, ಈ ಸಮಯದಲ್ಲಿ ಡೆವಲಪರ್ ಡಿಜಿಟಲ್ ಸಹಿಯನ್ನು ರಚಿಸಲು ಸಮಯವನ್ನು ಹೊಂದಿರಬೇಕು (ಪ್ರಮಾಣಪತ್ರವು ನಂತರ ಆಕ್ರಮಣಕಾರರ ಕೈಗೆ ಬಿದ್ದರೆ, ಅದು ಈಗಾಗಲೇ ಅವಧಿ ಮೀರುತ್ತದೆ).
  • COsign (ಕಂಟೇನರ್ ಸಹಿ) ಎಂಬುದು ಕಂಟೈನರ್‌ಗಳಿಗೆ ಸಹಿಗಳನ್ನು ರಚಿಸಲು, ಸಹಿಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಮತ್ತು OCI (ಓಪನ್ ಕಂಟೈನರ್ ಇನಿಶಿಯೇಟಿವ್) ಗೆ ಹೊಂದಿಕೆಯಾಗುವ ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ ಸಹಿ ಮಾಡಿದ ಕಂಟೈನರ್‌ಗಳನ್ನು ಇರಿಸಲು ಟೂಲ್‌ಕಿಟ್ ಆಗಿದೆ.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ