Google Sigstore долбоорун түзгөн компоненттердин биринчи туруктуу релиздерин түзүү жөнүндө жарыялады, ал жумушчу ишке ашырууларды түзүү үчүн ылайыктуу деп жарыяланган. Sigstore санариптик кол тамгаларды колдонуу менен программалык камсыздоону текшерүү үчүн инструменттерди жана кызматтарды иштеп чыгат жана өзгөртүүлөрдүн аныктыгын тастыктоочу коомдук журналды жүргүзөт (ачыктык журналы). Долбоор Linux Foundation коммерциялык эмес уюмунун демөөрчүлүгү астында Google, Red Hat, Cisco, vmWare, GitHub жана HP Enterprise тарабынан OpenSSF (Open Source Security Foundation) уюмунун жана Purdue университетинин катышуусунда иштелип чыгууда.
Sigstore коду санарип кол коюу үчүн сертификаттарды жана текшерүүнү автоматташтыруу үчүн куралдарды камсыз кылган Let's Encrypt Code катары караса болот. Sigstore менен иштеп чыгуучулар релиз файлдары, контейнер сүрөттөрү, манифесттер жана аткарылуучу файлдар сыяктуу колдонмого тиешелүү артефакттарга санарип кол коё алышат. Кол коюу материалы текшерүү жана аудит үчүн колдонула турган бурмалоого каршы ачык журналда чагылдырылат.
Туруктуу ачкычтардын ордуна, Sigstore кыска мөөнөттүү эфемердик ачкычтарды колдонот, алар OpenID Connect провайдерлери тарабынан тастыкталган ишеним грамоталарынын негизинде түзүлөт (санариптик кол тамганы түзүү үчүн зарыл болгон ачкычтарды түзүү учурунда, иштеп чыгуучу өзүн OpenID провайдери аркылуу аныктайт. электрондук почта). Ачкычтардын аныктыгы коомдук борборлоштурулган журналдын жардамы менен текшерилет, бул кол тамганын автору ал ким экендигин так тастыктоого мүмкүндүк берет, ал эми кол мурунку релиздерге жооптуу болгон ошол эле катышуучу тарабынан түзүлгөн.
Sigstore ишке ашырууга даярдыгы эки негизги компоненттин - Rekor 1.0 жана Fulcio 1.0 релиздерин түзүү менен шартталган, алардын программалык интерфейстери туруктуу деп жарыяланган жана артка шайкеш келет. Кызматтын компоненттери Go программасында жазылган жана Apache 2.0 лицензиясынын астында таратылат.
Rekor компоненти долбоорлор жөнүндө маалыматты чагылдырган санарип кол коюлган метаберилиштерди сактоо үчүн лог ишке ашырууну камтыйт. Бүтүндүктү камсыз кылуу жана ретроспективдүү маалыматтардын бузулушунан коргоо үчүн Merkle Tree дарак структурасы колдонулат, мында ар бир бутак биргелешкен (дарак) хэшинг аркылуу бардык негизги бутактарды жана түйүндөрдү текшерет. Акыркы хэшке ээ болуу менен колдонуучу операциялардын бүткүл тарыхынын тууралыгын, ошондой эле маалымат базасынын мурунку абалынын тууралыгын текшере алат (базанын жаңы абалынын тамыр текшерүү хэши өткөн абалды эске алуу менен эсептелет. ). RESTful API, ошондой эле жаңы жазууларды текшерүү жана кошуу үчүн буйрук сабы интерфейси берилет.
Fulcio компоненти (SigStore WebPKI) OpenID Connect аркылуу аутентификацияланган электрондук почтанын негизинде кыска мөөнөттүү сертификаттарды чыгарган сертификация органдарын (тамыр CA) түзүү системасын камтыйт. Сертификаттын иштөө мөөнөтү 20 мүнөттү түзөт, анын ичинде иштеп чыгуучуда санариптик колтамга түзүү үчүн убакыт болушу керек (эгерде сертификат кийинчерээк чабуулчунун колуна түшүп калса, анын мөөнөтү бүтүп калат). Кошумчалай кетсек, долбоор Cosign (Контейнерге кол коюу) инструменттер топтомун иштеп чыгууда, ал контейнерлер үчүн кол тамгаларды түзүү, кол тамгаларды текшерүү жана кол коюлган контейнерлерди OCI (Ачык Контейнер Демилгеси) менен шайкеш репозиторийлерге жайгаштыруу үчүн иштелип чыккан.
Sigstore ишке ашыруу программаны таратуу каналдарынын коопсуздугун жогорулатууга жана китепканаларды жана көз карандылыкты (жеткизүү чынжырын) алмаштырууга багытталган чабуулдардан коргоого мүмкүндүк берет. Ачык программалык камсыздоодогу негизги коопсуздук көйгөйлөрүнүн бири бул программанын булагын текшерүү жана куруу процессин текшерүү кыйынчылыгы. Мисалы, көпчүлүк долбоорлор релиздин бүтүндүгүн текшерүү үчүн хэштерди колдонушат, бирок көбүнчө аутентификация үчүн зарыл болгон маалымат корголбогон системаларда жана жалпы код репозиторийлеринде сакталат, мунун натыйжасында чабуулчулар текшерүү үчүн зарыл болгон файлдарды бузуп, зыяндуу өзгөртүүлөрдү киргизиши мүмкүн. шек жаратпай.
Ачкычтарды башкаруудагы, ачык ачкычтарды жайылтуудагы жана бузулган ачкычтарды жокко чыгаруудагы кыйынчылыктардан улам релиздерди текшерүү үчүн санариптик кол тамгаларды колдонуу кеңири жайыла элек. Текшерүүнүн мааниси болушу үчүн, кошумча түрдө ачык ачкычтарды жана текшерүү суммасын таратуу үчүн ишенимдүү жана коопсуз процессти уюштуруу зарыл. Санарип кол тамгасы менен да, көптөгөн колдонуучулар текшерүүнү этибарга алышпайт, анткени алар текшерүү процессин үйрөнүүгө жана кайсы ачкыч ишенимдүү экенин түшүнүүгө убакыт коротушу керек. Sigstore долбоору даяр жана далилденген чечимди камсыз кылуу менен бул процесстерди жөнөкөйлөтүү жана автоматташтыруу аракетин көрөт.
Source: opennet.ru