Google damezrandina yekem berdanên stabîl ên pêkhateyên ku projeya Sigstore pêk tînin ragihand, ku ji bo çêkirina pêkanînên xebatê guncan tê ragihandin. Sigstore amûr û karûbaran ji bo verastkirina nermalavê bi karanîna îmzeyên dîjîtal û domandina têketinek gelemperî ku rastiya guhertinan piştrast dike (qeyda zelaliyê) pêş dixe. Proje di bin banê rêxistina neqezenc Linux Weqfa ji hêla Google, Red Hat, Cisco, vmWare, GitHub û HP Enterprise ve bi beşdariya rêxistina OpenSSF (Weqfa Ewlekariya Çavkaniya Vekirî) û Zanîngeha Purdue tê pêşxistin.
Sigstore dikare wekî Werin em ji bo kodê şîfre bikin, ji bo îmzakirina kodê dîjîtal û amûrên ji bo verastkirina otomatîkî sertîfîkayan peyda dike. Bi Sigstore re, pêşdebir dikarin bi dîjîtal hunerên serîlêdanê yên wekî pelên serbestberdanê, wêneyên konteynerê, manîfesto, û pêkanan îmze bikin. Materyalên îmzayê di têketinek gelemperî ya ku ji bo verastkirin û venêrtinê dikare were bikar anîn de tê xuyang kirin.
Li şûna bişkokên daîmî, Sigstore bişkojkên demkurt ên demkurt bikar tîne, yên ku li ser bingeha pêbaweriyên ku ji hêla pêşkêşkerên OpenID Connect ve hatine pejirandin têne çêkirin (di dema çêkirina mifteyên ku ji bo afirandina îmzeyek dîjîtal hewce ne, pêşdebir xwe bi navgîniya pêşkêşkarê OpenID-ê ve girêdayî ye email). Rastiya kilîtan bi karanîna têketinek navendîkirî ya gelemperî tê verast kirin, ku ev yek dihêle ku meriv rast bike ka nivîskarê îmzeyê tam yê ku ew îdîa dike ye, û îmze ji hêla heman beşdarê ku berpirsiyarê weşanên berê bû ve hatî çêkirin.
Amadebûna Sigstore ji bo bicîhkirinê ji ber damezrandina berdanên du hêmanên sereke ye - Rekor 1.0 û Fulcio 1.0, ku navgînên nermalavê yên ku bi îstîqrar têne ragihandin û dê lihevhatina paşdemayî bimînin. Parçeyên karûbarê di Go de têne nivîsandin û di bin lîsansa Apache 2.0 de têne belav kirin.
Parçeya Rekor ji bo hilanîna metadatayên bi dîjîtal ên îmzekirî ku agahdariya di derheqê projeyan de vedibêje, pêkanîna têketinê vedihewîne. Ji bo misogerkirina yekrêziyê û parastina li dijî gendeliya daneyê piştî rastiyê, avahiyek dara Merkle Tree tê bikar anîn, ku tê de her şax bi navgîniya hevgirtinê (dara) ve hemî şax û girêkên jêrîn verast dike. Bi hashaya paşîn, bikarhêner dikare rastbûna tevahiya dîroka operasyonan, û her weha rastbûna rewşên berê yên databasê verast bike (haşa rastkirina root ya rewşa nû ya databasê li gorî rewşa berê tê hesibandin ). API-ya RESTful ji bo verastkirin û zêdekirina tomarên nû, û her weha navgînek rêzika fermanê tê peyda kirin.
Parçeya Fulcio (SigStore WebPKI) pergalek ji bo afirandina rayedarên pejirandinê (CA-yên root) vedihewîne ku sertîfîkayên demkurt li ser bingeha e-nameya ku bi navgîniya OpenID Connect ve hatî pejirandin derdixe. Temenê sertîfîkayê 20 hûrdem e, di vê dema ku pêşdebir divê dem hebe ku îmzeyek dîjîtal çêbike (eger sertîfîka paşê bikeve destê êrîşkerek, ew ê jixwe qediya be). Wekî din, proje amûrê Cosign (Imzekirina Konteyner) pêş dixe, ku ji bo afirandina îmzeyan ji bo konteyneran, verastkirina îmzeyan û danîna konteynerên îmzekirî di depoyên ku bi OCI (Insiyatîfa Konteynirê Vekirî) re lihevhatî ye, pêş dixe.
Pêkanîna Sigstore gengaz dike ku ewlehiya kanalên belavkirina bernameyê zêde bike û li hember êrîşên ku bi mebesta cîgirkirina pirtûkxane û girêdanan (zincîra peydakirinê) têne parastin. Yek ji pirsgirêkên ewlehiyê yên sereke di nermalava çavkaniya vekirî de dijwariya verastkirina çavkaniya bernameyê û verastkirina pêvajoya çêkirinê ye. Mînakî, piraniya projeyan ji bo verastkirina yekdestiya serbestberdanê hashes bikar tînin, lê pir caran agahdariya ku ji bo rastkirinê hewce dike li ser pergalên neparastî û di depoyên kodê yên hevpar de têne hilanîn, ji ber vê yekê êrîşkar dikarin pelên ku ji bo verastkirinê hewce ne tawîz bikin û guhertinên xerab pêk bînin. bêyî ku gumanan zêde bike.
Bikaranîna îmzayên dîjîtal ji bo verastkirina berdanê hêj berbelav nebûye ji ber dijwariyên di birêvebirina mifteyan de, belavkirina mifteyên giştî, û betalkirina mifteyên lihevkirî. Ji bo ku verastkirin watedar be, di heman demê de pêdivî ye ku ji bo belavkirina mifteyên giştî û kontrolê pêvajoyek pêbawer û ewledar were organîze kirin. Tewra bi îmzeyek dîjîtal re, gelek bikarhêner verastkirinê paşguh dikin ji ber ku ew hewce ne ku wextê xwe fêrî pêvajoya verastkirinê bikin û fêm bikin ka kîjan kilît pêbawer e. Projeya Sigstore bi peydakirina çareseriyek amade û îsbatkirî hewl dide ku van pêvajoyan hêsan bike û otomatîk bike.
Source: opennet.ru