Google์ ์์ ๊ตฌํ์ ์์ฑํ๋ ๋ฐ ์ ํฉํ๋ค๊ณ ์ ์ธ๋ Sigstore ํ๋ก์ ํธ๋ฅผ ๊ตฌ์ฑํ๋ ๊ตฌ์ฑ ์์์ ์ฒซ ๋ฒ์งธ ์์ ์ ์ธ ๋ฆด๋ฆฌ์ค ๊ตฌ์ฑ์ ๋ฐํํ์ต๋๋ค. Sigstore๋ ๋์งํธ ์๋ช ์ ์ฌ์ฉํ๊ณ ๋ณ๊ฒฝ ์ฌํญ์ ์ ๋ขฐ์ฑ์ ํ์ธํ๋ ๊ณต๊ฐ ๋ก๊ทธ(ํฌ๋ช ์ฑ ๋ก๊ทธ)๋ฅผ ์ ์ง ๊ด๋ฆฌํ๋ ์ํํธ์จ์ด ๊ฒ์ฆ์ ์ํ ๋๊ตฌ ๋ฐ ์๋น์ค๋ฅผ ๊ฐ๋ฐํฉ๋๋ค. ์ด ํ๋ก์ ํธ๋ Google, Red Hat, Cisco, vmWare, GitHub ๋ฐ HP Enterprise์ ๋น์๋ฆฌ ์กฐ์ง์ธ Linux Foundation์ ํ์์ผ๋ก OpenSSF(Open Source Security Foundation) ์กฐ์ง๊ณผ Purdue University์ ์ฐธ์ฌ๋ก ๊ฐ๋ฐ๋๊ณ ์์ต๋๋ค.
Sigstore๋ ์ฝ๋์ฉ Let's Encrypt์ ์ ์ฌํ ๊ฒ์ผ๋ก ์๊ฐ๋ ์ ์์ผ๋ฉฐ, ์ฝ๋์ ๋ํ ๋์งํธ ์๋ช ์ฉ ์ธ์ฆ์์ ํ์ธ ์๋ํ์ฉ ๋๊ตฌ๋ฅผ ์ ๊ณตํฉ๋๋ค. Sigstore๋ฅผ ์ฌ์ฉํ๋ฉด ๊ฐ๋ฐ์๋ ๋ฆด๋ฆฌ์ค ํ์ผ, ์ปจํ ์ด๋ ์ด๋ฏธ์ง, ๋งค๋ํ์คํธ ๋ฐ ์คํ ํ์ผ๊ณผ ๊ฐ์ ์ ํ๋ฆฌ์ผ์ด์ ๊ด๋ จ ์ํฐํฉํธ์ ๋์งํธ ์๋ช ์ ํ ์ ์์ต๋๋ค. ์๋ช ์๋ฃ๋ ํ์ธ ๋ฐ ๊ฐ์ฌ์ ์ฌ์ฉํ ์ ์๋ ๋ณ์กฐ ๋ฐฉ์ง ๊ณต๊ฐ ๋ก๊ทธ์ ๋ฐ์๋ฉ๋๋ค.
์๊ตฌ ํค ๋์ Sigstore๋ OpenID Connect ๊ณต๊ธ์๊ฐ ํ์ธํ ์๊ฒฉ ์ฆ๋ช ์ ๊ธฐ๋ฐ์ผ๋ก ์์ฑ๋ ๋จ๊ธฐ ์์ ํค๋ฅผ ์ฌ์ฉํฉ๋๋ค. ๋์งํธ ์๋ช ์ ์์ฑํ๋ ๋ฐ ํ์ํ ํค๋ฅผ ์์ฑํ ๋ ๊ฐ๋ฐ์๋ OpenID Connect ๊ณต๊ธ์์ ์ฐ๊ฒฐ๋ OpenID ๊ณต๊ธ์๋ฅผ ํตํด ์์ ์ ์๋ณํฉ๋๋ค. ์ด๋ฉ์ผ). ํค์ ์ ๋ขฐ์ฑ์ ๊ณต๊ฐ ์ค์ ์ง์ค์ ๋ก๊ทธ๋ฅผ ์ฌ์ฉํ์ฌ ํ์ธ๋ฉ๋๋ค. ์ด๋ฅผ ํตํด ์๋ช ์์ฑ์๊ฐ ์์ ์ด ์ฃผ์ฅํ๋ ์ฌ๋์ด ์ ํํ ๋๊ตฌ์ธ์ง, ์๋ช ์ด ๊ณผ๊ฑฐ ๋ฆด๋ฆฌ์ค๋ฅผ ๋ด๋นํ ๋์ผํ ์ฐธ๊ฐ์์ ์ํด ์์ฑ๋์๋์ง ํ์ธํ ์ ์์ต๋๋ค.
Sigstore์ ๊ตฌํ ์ค๋น ์ํ๋ Rekor 1.0 ๋ฐ Fulcio 1.0์ด๋ผ๋ ๋ ๊ฐ์ง ์ฃผ์ ๊ตฌ์ฑ ์์์ ๋ฆด๋ฆฌ์ค ํ์ฑ์ผ๋ก ์ธํด ๋ฐ์ํฉ๋๋ค. ์ด ๊ตฌ์ฑ ์์์ ์ํํธ์จ์ด ์ธํฐํ์ด์ค๋ ์์ ์ ์ด๋ผ๊ณ ์ ์ธ๋์์ผ๋ฉฐ ๊ณ์ํด์ ์ด์ ๋ฒ์ ๊ณผ ํธํ๋ฉ๋๋ค. ์๋น์ค ๊ตฌ์ฑ ์์๋ Go๋ก ์์ฑ๋์์ผ๋ฉฐ Apache 2.0 ๋ผ์ด์ ์ค์ ๋ฐ๋ผ ๋ฐฐํฌ๋ฉ๋๋ค.
Rekor ๊ตฌ์ฑ ์์์๋ ํ๋ก์ ํธ์ ๋ํ ์ ๋ณด๋ฅผ ๋ฐ์ํ๋ ๋์งํธ ์๋ช ๋ ๋ฉํ๋ฐ์ดํฐ๋ฅผ ์ ์ฅํ๊ธฐ ์ํ ๋ก๊ทธ ๊ตฌํ์ด ํฌํจ๋์ด ์์ต๋๋ค. ๋ฌด๊ฒฐ์ฑ์ ๋ณด์ฅํ๊ณ ์ฌํ ๋ฐ์ดํฐ ์์์ ๋ฐฉ์งํ๊ธฐ ์ํด ๊ฐ ๋ถ๊ธฐ๊ฐ ์กฐ์ธํธ(ํธ๋ฆฌ) ํด์ฑ์ ํตํด ๋ชจ๋ ๊ธฐ๋ณธ ๋ถ๊ธฐ์ ๋ ธ๋๋ฅผ ํ์ธํ๋ Merkle Tree ํธ๋ฆฌ ๊ตฌ์กฐ๊ฐ ์ฌ์ฉ๋ฉ๋๋ค. ์ต์ข ํด์๋ฅผ ๊ฐ์ง๋ฉด ์ฌ์ฉ์๋ ์ ์ฒด ์์ ๋ด์ญ์ ์ ํ์ฑ๊ณผ ๋ฐ์ดํฐ๋ฒ ์ด์ค์ ๊ณผ๊ฑฐ ์ํ์ ์ ํ์ฑ์ ํ์ธํ ์ ์์ต๋๋ค(๋ฐ์ดํฐ๋ฒ ์ด์ค์ ์ ์ํ์ ๋ํ ๋ฃจํธ ํ์ธ ํด์๋ ๊ณผ๊ฑฐ ์ํ๋ฅผ ๊ณ ๋ คํ์ฌ ๊ณ์ฐ๋จ). ). ํ์ธ ๋ฐ ์ ๋ ์ฝ๋ ์ถ๊ฐ๋ฅผ ์ํ RESTful API์ ๋ช ๋ น์ค ์ธํฐํ์ด์ค๊ฐ ์ ๊ณต๋ฉ๋๋ค.
Fulcio ๊ตฌ์ฑ ์์(SigStore WebPKI)์๋ OpenID Connect๋ฅผ ํตํด ์ธ์ฆ๋ ์ด๋ฉ์ผ์ ๊ธฐ๋ฐ์ผ๋ก ๋จ๊ธฐ ์ธ์ฆ์๋ฅผ ๋ฐ๊ธํ๋ ์ธ์ฆ ๊ธฐ๊ด(๋ฃจํธ CA)์ ์์ฑํ๊ธฐ ์ํ ์์คํ ์ด ํฌํจ๋์ด ์์ต๋๋ค. ์ธ์ฆ์์ ์๋ช ์ 20๋ถ์ด๋ฉฐ, ์ด ๊ธฐ๊ฐ ๋์ ๊ฐ๋ฐ์๋ ๋์งํธ ์๋ช ์ ์์ฑํ ์๊ฐ์ ๊ฐ์ ธ์ผ ํฉ๋๋ค. ์ธ์ฆ์๊ฐ ๋์ค์ ๊ณต๊ฒฉ์์ ์์ ๋ค์ด๊ฐ๋ฉด ์ด๋ฏธ ๋ง๋ฃ๋ ๊ฒ์ ๋๋ค. ๋ํ ์ด ํ๋ก์ ํธ๋ ์ปจํ ์ด๋ ์๋ช ์ ์์ฑํ๊ณ , ์๋ช ์ ํ์ธํ๊ณ , OCI(Open Container Initiative)์ ํธํ๋๋ ์ ์ฅ์์ ์๋ช ๋ ์ปจํ ์ด๋๋ฅผ ๋ฐฐ์นํ๋๋ก ์ค๊ณ๋ Cosign(์ปจํ ์ด๋ ์๋ช ) ํดํท์ ๊ฐ๋ฐ ์ค์ ๋๋ค.
Sigstore๋ฅผ ๊ตฌํํ๋ฉด ํ๋ก๊ทธ๋จ ๋ฐฐํฌ ์ฑ๋์ ๋ณด์์ ๊ฐํํ๊ณ ๋ผ์ด๋ธ๋ฌ๋ฆฌ ๋ฐ ์ข ์์ฑ(๊ณต๊ธ๋ง)์ ๋์ฒดํ๋ ค๋ ๊ณต๊ฒฉ์ผ๋ก๋ถํฐ ๋ณดํธํ ์ ์์ต๋๋ค. ์คํ ์์ค ์ํํธ์จ์ด์ ์ฃผ์ ๋ณด์ ๋ฌธ์ ์ค ํ๋๋ ํ๋ก๊ทธ๋จ ์์ค ํ์ธ๊ณผ ๋น๋ ํ๋ก์ธ์ค ํ์ธ์ด ์ด๋ ต๋ค๋ ๊ฒ์ ๋๋ค. ์๋ฅผ ๋ค์ด, ๋๋ถ๋ถ์ ํ๋ก์ ํธ๋ ๋ฆด๋ฆฌ์ค์ ๋ฌด๊ฒฐ์ฑ์ ํ์ธํ๊ธฐ ์ํด ํด์๋ฅผ ์ฌ์ฉํ์ง๋ง ์ธ์ฆ์ ํ์ํ ์ ๋ณด๊ฐ ๋ณดํธ๋์ง ์์ ์์คํ ๊ณผ ๊ณต์ ์ฝ๋ ์ ์ฅ์์ ์ ์ฅ๋๋ ๊ฒฝ์ฐ๊ฐ ๋ง์ต๋๋ค. ๊ทธ ๊ฒฐ๊ณผ ๊ณต๊ฒฉ์๊ฐ ํ์ธ์ ํ์ํ ํ์ผ์ ์์์ํค๊ณ ์ ์์ ์ธ ๋ณ๊ฒฝ์ ๋์ ํ ์ ์์ต๋๋ค. ์ํน์ ์ ๊ธฐํ์ง ์๊ณ .
ํค ๊ด๋ฆฌ, ๊ณต๊ฐ ํค ๋ฐฐํฌ, ์์๋ ํค ์ทจ์์ ์ด๋ ค์์ผ๋ก ์ธํด ๋ฆด๋ฆฌ์ค ํ์ธ์ ์ํ ๋์งํธ ์๋ช
์ ์ฌ์ฉ์ด ์์ง ๋๋ฆฌ ๋ณด๊ธ๋์ง ์์์ต๋๋ค. ๊ฒ์ฆ์ด ํฉ๋ฆฌ์ ์ด๋ ค๋ฉด ๊ณต๊ฐ ํค์ ์ฒดํฌ์ฌ์ ๋ฐฐํฌํ๊ธฐ ์ํ ์ ๋ขฐํ ์ ์๊ณ ์์ ํ ํ๋ก์ธ์ค๋ฅผ ๊ตฌ์ฑํ๋ ๊ฒ์ด ์ถ๊ฐ๋ก ํ์ํฉ๋๋ค. ๋์งํธ ์๋ช
์ด ์์ด๋ ๋ง์ ์ฌ์ฉ์๋ ํ์ธ ํ๋ก์ธ์ค๋ฅผ ๋ฐฐ์ฐ๊ณ ์ด๋ค ํค๊ฐ ์ ๋ขฐํ ์ ์๋์ง ์ดํดํ๋ ๋ฐ ์๊ฐ์ ํฌ์ํด์ผ ํ๊ธฐ ๋๋ฌธ์ ํ์ธ์ ๋ฌด์ํฉ๋๋ค. Sigstore ํ๋ก์ ํธ๋ ๊ธฐ์ฑํ ๋ฐ ์
์ฆ๋ ์๋ฃจ์
์ ์ ๊ณตํ์ฌ ์ด๋ฌํ ํ๋ก์ธ์ค๋ฅผ ๋จ์ํํ๊ณ ์๋ํํ๋ ค๊ณ ์๋ํฉ๋๋ค.
์ถ์ฒ : opennet.ru