ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > ಸಿಗ್‌ಸ್ಟೋರ್ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕೋಡ್ ಪರಿಶೀಲನಾ ವ್ಯವಸ್ಥೆಯ ಸಿದ್ಧತೆಯನ್ನು ಘೋಷಿಸಲಾಗಿದೆ

ಸಿಗ್‌ಸ್ಟೋರ್ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕೋಡ್ ಪರಿಶೀಲನಾ ವ್ಯವಸ್ಥೆಯ ಸಿದ್ಧತೆಯನ್ನು ಘೋಷಿಸಲಾಗಿದೆ

ಸಿಗ್‌ಸ್ಟೋರ್ ಯೋಜನೆಯನ್ನು ರೂಪಿಸುವ ಘಟಕಗಳ ಮೊದಲ ಸ್ಥಿರ ಬಿಡುಗಡೆಗಳ ರಚನೆಯನ್ನು ಗೂಗಲ್ ಘೋಷಿಸಿತು, ಇದು ಕಾರ್ಯ ಅನುಷ್ಠಾನಗಳನ್ನು ರಚಿಸಲು ಸೂಕ್ತವಾಗಿದೆ ಎಂದು ಘೋಷಿಸಲಾಗಿದೆ. ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್‌ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸಾಫ್ಟ್‌ವೇರ್ ಪರಿಶೀಲನೆಗಾಗಿ ಸಿಗ್‌ಸ್ಟೋರ್ ಉಪಕರಣಗಳು ಮತ್ತು ಸೇವೆಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸುತ್ತದೆ ಮತ್ತು ಬದಲಾವಣೆಗಳ ದೃಢೀಕರಣವನ್ನು ದೃಢೀಕರಿಸುವ ಸಾರ್ವಜನಿಕ ಲಾಗ್ ಅನ್ನು ನಿರ್ವಹಿಸುತ್ತದೆ (ಪಾರದರ್ಶಕತೆ ಲಾಗ್). Google, Red Hat, Cisco, vmWare, GitHub ಮತ್ತು HP ಎಂಟರ್‌ಪ್ರೈಸ್‌ನಿಂದ ಲಾಭರಹಿತ ಸಂಸ್ಥೆಯಾದ Linux ಫೌಂಡೇಶನ್‌ನ ಆಶ್ರಯದಲ್ಲಿ ಯೋಜನೆಯನ್ನು OpenSSF (ಓಪನ್ ಸೋರ್ಸ್ ಸೆಕ್ಯುರಿಟಿ ಫೌಂಡೇಶನ್) ಸಂಸ್ಥೆ ಮತ್ತು ಪರ್ಡ್ಯೂ ವಿಶ್ವವಿದ್ಯಾಲಯದ ಭಾಗವಹಿಸುವಿಕೆಯೊಂದಿಗೆ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗುತ್ತಿದೆ.

ಸಿಗ್‌ಸ್ಟೋರ್ ಅನ್ನು ಕೋಡ್‌ಗಾಗಿ ಲೆಟ್ಸ್ ಎನ್‌ಕ್ರಿಪ್ಟ್ ಎಂದು ಭಾವಿಸಬಹುದು, ಡಿಜಿಟಲ್ ಸೈನ್ ಕೋಡ್ ಮಾಡಲು ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಮತ್ತು ಪರಿಶೀಲನೆಯನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಲು ಸಾಧನಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ. ಸಿಗ್‌ಸ್ಟೋರ್‌ನೊಂದಿಗೆ, ಡೆವಲಪರ್‌ಗಳು ಬಿಡುಗಡೆ ಫೈಲ್‌ಗಳು, ಕಂಟೇನರ್ ಚಿತ್ರಗಳು, ಮ್ಯಾನಿಫೆಸ್ಟ್‌ಗಳು ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದಂತಹ ಅಪ್ಲಿಕೇಶನ್-ಸಂಬಂಧಿತ ಕಲಾಕೃತಿಗಳಿಗೆ ಡಿಜಿಟಲ್ ಸಹಿ ಮಾಡಬಹುದು. ಪರಿಶೀಲನೆ ಮತ್ತು ಲೆಕ್ಕಪರಿಶೋಧನೆಗಾಗಿ ಬಳಸಬಹುದಾದ ಟ್ಯಾಂಪರ್-ಪ್ರೂಫ್ ಸಾರ್ವಜನಿಕ ಲಾಗ್‌ನಲ್ಲಿ ಸಹಿ ವಸ್ತುವು ಪ್ರತಿಫಲಿಸುತ್ತದೆ.

ಶಾಶ್ವತ ಕೀಗಳ ಬದಲಿಗೆ, Sigstore ಅಲ್ಪಾವಧಿಯ ಅಲ್ಪಕಾಲಿಕ ಕೀಗಳನ್ನು ಬಳಸುತ್ತದೆ, ಇವುಗಳನ್ನು OpenID ಕನೆಕ್ಟ್ ಪೂರೈಕೆದಾರರು ದೃಢೀಕರಿಸಿದ ರುಜುವಾತುಗಳ ಆಧಾರದ ಮೇಲೆ ರಚಿಸಲಾಗುತ್ತದೆ (ಡಿಜಿಟಲ್ ಸಹಿಯನ್ನು ರಚಿಸಲು ಅಗತ್ಯವಾದ ಕೀಗಳನ್ನು ರಚಿಸುವ ಸಮಯದಲ್ಲಿ, ಡೆವಲಪರ್ ತನ್ನನ್ನು ತಾನು ಗುರುತಿಸಿಕೊಳ್ಳುತ್ತಾನೆ OpenID ಪೂರೈಕೆದಾರರಿಗೆ ಲಿಂಕ್ ಮಾಡಲಾಗಿದೆ ಇಮೇಲ್). ಕೀಗಳ ದೃಢೀಕರಣವನ್ನು ಸಾರ್ವಜನಿಕ ಕೇಂದ್ರೀಕೃತ ಲಾಗ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಪರಿಶೀಲಿಸಲಾಗುತ್ತದೆ, ಇದು ಸಹಿಯ ಲೇಖಕನು ನಿಖರವಾಗಿ ಅವರು ಎಂದು ಹೇಳಿಕೊಳ್ಳುವುದನ್ನು ಪರಿಶೀಲಿಸಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ ಮತ್ತು ಹಿಂದಿನ ಬಿಡುಗಡೆಗಳಿಗೆ ಜವಾಬ್ದಾರರಾಗಿರುವ ಅದೇ ಭಾಗವಹಿಸುವವರಿಂದ ಸಹಿಯನ್ನು ರಚಿಸಲಾಗಿದೆ.

ಅನುಷ್ಠಾನಕ್ಕೆ ಸಿಗ್‌ಸ್ಟೋರ್‌ನ ಸನ್ನದ್ಧತೆಯು ಎರಡು ಪ್ರಮುಖ ಘಟಕಗಳ ಬಿಡುಗಡೆಗಳ ರಚನೆಯ ಕಾರಣದಿಂದಾಗಿರುತ್ತದೆ - ರೆಕಾರ್ 1.0 ಮತ್ತು ಫುಲ್ಸಿಯೊ 1.0, ಇವುಗಳ ಸಾಫ್ಟ್‌ವೇರ್ ಇಂಟರ್ಫೇಸ್‌ಗಳನ್ನು ಸ್ಥಿರವೆಂದು ಘೋಷಿಸಲಾಗಿದೆ ಮತ್ತು ಹಿಂದುಳಿದ ಹೊಂದಾಣಿಕೆಯನ್ನು ಮುಂದುವರಿಸುತ್ತದೆ. ಸೇವಾ ಘಟಕಗಳನ್ನು Go ನಲ್ಲಿ ಬರೆಯಲಾಗಿದೆ ಮತ್ತು Apache 2.0 ಪರವಾನಗಿ ಅಡಿಯಲ್ಲಿ ವಿತರಿಸಲಾಗಿದೆ.

ರೆಕಾರ್ ಘಟಕವು ಯೋಜನೆಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಪ್ರತಿಬಿಂಬಿಸುವ ಡಿಜಿಟಲ್ ಸಹಿ ಮೆಟಾಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸಲು ಲಾಗ್ ಅನುಷ್ಠಾನವನ್ನು ಹೊಂದಿದೆ. ಸಮಗ್ರತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಮತ್ತು ವಾಸ್ತವದ ನಂತರ ಡೇಟಾ ಭ್ರಷ್ಟಾಚಾರದಿಂದ ರಕ್ಷಿಸಲು, ಮರ್ಕಲ್ ಟ್ರೀ ಟ್ರೀ ರಚನೆಯನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಇದರಲ್ಲಿ ಪ್ರತಿಯೊಂದು ಶಾಖೆಯು ಜಂಟಿ (ಮರ) ಹ್ಯಾಶಿಂಗ್ ಮೂಲಕ ಎಲ್ಲಾ ಆಧಾರವಾಗಿರುವ ಶಾಖೆಗಳು ಮತ್ತು ನೋಡ್‌ಗಳನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ. ಅಂತಿಮ ಹ್ಯಾಶ್ ಅನ್ನು ಹೊಂದಿರುವ, ಬಳಕೆದಾರರು ಸಂಪೂರ್ಣ ಕಾರ್ಯಾಚರಣೆಯ ಇತಿಹಾಸದ ನಿಖರತೆಯನ್ನು ಪರಿಶೀಲಿಸಬಹುದು, ಹಾಗೆಯೇ ಡೇಟಾಬೇಸ್‌ನ ಹಿಂದಿನ ಸ್ಥಿತಿಗಳ ಸರಿಯಾಗಿರುವುದನ್ನು ಪರಿಶೀಲಿಸಬಹುದು (ಡೇಟಾಬೇಸ್‌ನ ಹೊಸ ಸ್ಥಿತಿಯ ಮೂಲ ಪರಿಶೀಲನೆ ಹ್ಯಾಶ್ ಅನ್ನು ಹಿಂದಿನ ಸ್ಥಿತಿಯನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಂಡು ಲೆಕ್ಕಹಾಕಲಾಗುತ್ತದೆ. ) ಒಂದು RESTful API ಅನ್ನು ಪರಿಶೀಲನೆಗಾಗಿ ಮತ್ತು ಹೊಸ ದಾಖಲೆಗಳನ್ನು ಸೇರಿಸಲು ಒದಗಿಸಲಾಗಿದೆ, ಹಾಗೆಯೇ ಕಮಾಂಡ್ ಲೈನ್ ಇಂಟರ್ಫೇಸ್.

Fulcio ಘಟಕ (SigStore WebPKI) OpenID ಕನೆಕ್ಟ್ ಮೂಲಕ ದೃಢೀಕರಿಸಿದ ಇಮೇಲ್ ಆಧರಿಸಿ ಅಲ್ಪಾವಧಿಯ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನೀಡುವ ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರಗಳನ್ನು (ರೂಟ್ CA ಗಳು) ರಚಿಸುವ ವ್ಯವಸ್ಥೆಯನ್ನು ಒಳಗೊಂಡಿದೆ. ಪ್ರಮಾಣಪತ್ರದ ಜೀವಿತಾವಧಿಯು 20 ನಿಮಿಷಗಳು, ಈ ಸಮಯದಲ್ಲಿ ಡೆವಲಪರ್ ಡಿಜಿಟಲ್ ಸಹಿಯನ್ನು ರಚಿಸಲು ಸಮಯವನ್ನು ಹೊಂದಿರಬೇಕು (ಪ್ರಮಾಣಪತ್ರವು ನಂತರ ಆಕ್ರಮಣಕಾರರ ಕೈಗೆ ಬಿದ್ದರೆ, ಅದು ಈಗಾಗಲೇ ಅವಧಿ ಮೀರುತ್ತದೆ). ಹೆಚ್ಚುವರಿಯಾಗಿ, ಕಂಟೈನರ್‌ಗಳಿಗೆ ಸಹಿಗಳನ್ನು ರಚಿಸಲು, ಸಹಿಗಳನ್ನು ಪರಿಶೀಲಿಸಲು ಮತ್ತು OCI (ಓಪನ್ ಕಂಟೈನರ್ ಇನಿಶಿಯೇಟಿವ್) ಗೆ ಹೊಂದಿಕೆಯಾಗುವ ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ ಸಹಿ ಮಾಡಿದ ಕಂಟೈನರ್‌ಗಳನ್ನು ಇರಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ Cosign (ಕಂಟೇನರ್ ಸಹಿ) ಟೂಲ್‌ಕಿಟ್ ಅನ್ನು ಯೋಜನೆಯು ಅಭಿವೃದ್ಧಿಪಡಿಸುತ್ತಿದೆ.

ಸಿಗ್‌ಸ್ಟೋರ್‌ನ ಅನುಷ್ಠಾನವು ಪ್ರೋಗ್ರಾಂ ವಿತರಣಾ ಚಾನಲ್‌ಗಳ ಸುರಕ್ಷತೆಯನ್ನು ಹೆಚ್ಚಿಸಲು ಮತ್ತು ಗ್ರಂಥಾಲಯಗಳು ಮತ್ತು ಅವಲಂಬನೆಗಳನ್ನು (ಪೂರೈಕೆ ಸರಪಳಿ) ಬದಲಿಸುವ ಗುರಿಯನ್ನು ಹೊಂದಿರುವ ದಾಳಿಯಿಂದ ರಕ್ಷಿಸಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ. ಓಪನ್ ಸೋರ್ಸ್ ಸಾಫ್ಟ್‌ವೇರ್‌ನಲ್ಲಿನ ಪ್ರಮುಖ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳೆಂದರೆ ಪ್ರೋಗ್ರಾಂನ ಮೂಲವನ್ನು ಪರಿಶೀಲಿಸುವ ಮತ್ತು ನಿರ್ಮಾಣ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪರಿಶೀಲಿಸುವ ತೊಂದರೆ. ಉದಾಹರಣೆಗೆ, ಹೆಚ್ಚಿನ ಪ್ರಾಜೆಕ್ಟ್‌ಗಳು ಬಿಡುಗಡೆಯ ಸಮಗ್ರತೆಯನ್ನು ಪರಿಶೀಲಿಸಲು ಹ್ಯಾಶ್‌ಗಳನ್ನು ಬಳಸುತ್ತವೆ, ಆದರೆ ದೃಢೀಕರಣಕ್ಕೆ ಅಗತ್ಯವಾದ ಮಾಹಿತಿಯನ್ನು ಅಸುರಕ್ಷಿತ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಮತ್ತು ಹಂಚಿಕೆಯ ಕೋಡ್ ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗುತ್ತದೆ, ಇದರ ಪರಿಣಾಮವಾಗಿ ದಾಳಿಕೋರರು ಪರಿಶೀಲನೆಗೆ ಅಗತ್ಯವಾದ ಫೈಲ್‌ಗಳನ್ನು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಬಹುದು ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ ಬದಲಾವಣೆಗಳನ್ನು ಪರಿಚಯಿಸಬಹುದು. ಅನುಮಾನವನ್ನು ಹೆಚ್ಚಿಸದೆ.

ಕೀಲಿಗಳನ್ನು ನಿರ್ವಹಿಸುವುದು, ಸಾರ್ವಜನಿಕ ಕೀಲಿಗಳನ್ನು ವಿತರಿಸುವುದು ಮತ್ತು ರಾಜಿಯಾದ ಕೀಗಳನ್ನು ಹಿಂತೆಗೆದುಕೊಳ್ಳುವಲ್ಲಿನ ತೊಂದರೆಗಳಿಂದಾಗಿ ಬಿಡುಗಡೆಯ ಪರಿಶೀಲನೆಗಾಗಿ ಡಿಜಿಟಲ್ ಸಹಿಗಳ ಬಳಕೆಯು ಇನ್ನೂ ವ್ಯಾಪಕವಾಗಿಲ್ಲ. ಪರಿಶೀಲನೆಯು ಅರ್ಥಪೂರ್ಣವಾಗಲು, ಸಾರ್ವಜನಿಕ ಕೀಲಿಗಳು ಮತ್ತು ಚೆಕ್‌ಸಮ್‌ಗಳನ್ನು ವಿತರಿಸಲು ವಿಶ್ವಾಸಾರ್ಹ ಮತ್ತು ಸುರಕ್ಷಿತ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಸಂಘಟಿಸುವುದು ಹೆಚ್ಚುವರಿಯಾಗಿ ಅಗತ್ಯವಾಗಿರುತ್ತದೆ. ಡಿಜಿಟಲ್ ಸಹಿಯೊಂದಿಗೆ ಸಹ, ಅನೇಕ ಬಳಕೆದಾರರು ಪರಿಶೀಲನೆಯನ್ನು ನಿರ್ಲಕ್ಷಿಸುತ್ತಾರೆ ಏಕೆಂದರೆ ಅವರು ಪರಿಶೀಲನಾ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಕಲಿಯಲು ಮತ್ತು ಯಾವ ಕೀ ವಿಶ್ವಾಸಾರ್ಹವಾಗಿದೆ ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಸಮಯವನ್ನು ಕಳೆಯಬೇಕಾಗುತ್ತದೆ. ಸಿಗ್‌ಸ್ಟೋರ್ ಯೋಜನೆಯು ಸಿದ್ಧವಾದ ಮತ್ತು ಸಾಬೀತಾದ ಪರಿಹಾರವನ್ನು ಒದಗಿಸುವ ಮೂಲಕ ಈ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ಸರಳೀಕರಿಸಲು ಮತ್ತು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ.

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ