Red Hat жана Google, Purdue университети менен биргеликте санариптик кол тамгаларды колдонуу менен программалык камсыздоону текшерүү үчүн инструменттерди жана кызматтарды түзүүгө жана аныктыгын тастыктоо үчүн коомдук журналды жүргүзүүгө багытталган Sigstore долбоорун негиздешкен (ачыктык журналы). Долбоор Linux Foundation коммерциялык эмес уюмунун демөөрчүлүгү астында иштелип чыгат.
Сунушталган долбоор программалык камсыздоону бөлүштүрүү каналдарынын коопсуздугун жакшыртат жана программалык камсыздоонун компоненттерин жана көз карандылыкты (жеткизүү чынжыры) алмаштырууга багытталган чабуулдардан коргойт. Ачык программалык камсыздоодогу негизги коопсуздук көйгөйлөрүнүн бири бул программанын булагын текшерүү жана куруу процессин текшерүү кыйынчылыгы. Мисалы, көпчүлүк долбоорлор релиздин бүтүндүгүн текшерүү үчүн хэштерди колдонушат, бирок көбүнчө аутентификация үчүн зарыл болгон маалымат корголбогон системаларда жана жалпы код репозиторийлеринде сакталат, мунун натыйжасында чабуулчулар текшерүү үчүн зарыл болгон файлдарды бузуп, зыяндуу өзгөртүүлөрдү киргизиши мүмкүн. шек жаратпай.
Ачкычтарды башкаруудагы, ачык ачкычтарды таратуудагы жана бузулган ачкычтарды жокко чыгаруудагы кыйынчылыктардан улам релиздерди таратууда долбоорлордун аз гана бөлүгү санариптик кол тамганы колдонушат. Текшерүүнүн мааниси болушу үчүн, ошондой эле ачык ачкычтарды жана текшерүү суммасын таратуу үчүн ишенимдүү жана коопсуз процессти уюштуруу зарыл. Санарип кол тамгасы бар болсо да, көптөгөн колдонуучулар текшерүүнү этибарга алышпайт, анткени алар текшерүү процессин изилдөөгө жана кайсы ачкыч ишенимдүү экенин түшүнүүгө убакыт коротушу керек.
Sigstore кодун санарип кол коюу үчүн сертификаттарды жана текшерүүнү автоматташтыруу үчүн куралдар менен камсыз кылуучу Let's Encrypt кодунун эквиваленти катары бааланат. Sigstore менен иштеп чыгуучулар релиз файлдары, контейнер сүрөттөрү, манифесттер жана аткарылуучу файлдар сыяктуу колдонмого тиешелүү артефакттарга санарип кол коё алышат. Sigstore'дун өзгөчөлүгү - кол коюу үчүн колдонулган материал текшерүү жана аудит үчүн колдонула турган бурмалоого каршы ачык журналда чагылдырылган.
Туруктуу ачкычтардын ордуна, Sigstore кыска мөөнөттүү эфемердик ачкычтарды колдонот, алар OpenID Connect провайдерлери тарабынан тастыкталган ишеним грамоталарынын негизинде түзүлөт (санарип колтамга үчүн ачкычтарды түзүү учурунда, иштеп чыгуучу электрондук почтага байланышкан OpenID провайдери аркылуу өзүн аныктайт). Ачкычтардын аныктыгы коомдук борборлоштурулган журналдын жардамы менен текшерилет, бул кол тамганын автору ал ким экендигин жана колду мурунку чыгарылыштарга жооптуу болгон ошол эле катышуучу түзгөнүн текшерүүгө мүмкүндүк берет.
Sigstore сиз колдоно ала турган даяр кызматты да, ошондой эле өзүңүздүн жабдыктарыңызга окшош кызматтарды жайылтууга мүмкүндүк берүүчү куралдардын топтомун да камсыз кылат. Кызмат бардык иштеп чыгуучулар жана программалык камсыздоочулар үчүн акысыз жана нейтралдуу платформада - Linux Foundation'да жайгаштырылган. Кызматтын бардык компоненттери ачык булак болуп саналат, Go программасында жазылган жана Apache 2.0 лицензиясынын астында таратылат.
Иштелип чыккан компоненттердин арасында биз белгилей алабыз:
- Rekor - бул долбоорлор жөнүндө маалыматты чагылдырган санарип кол коюлган метаберилиштерди сактоо үчүн лог ишке ашыруу. Бүтүндүктү камсыз кылуу жана фактыдан кийин маалыматтардын бузулушунан коргоо үчүн "Merkle Tree" дарак сымал структура колдонулат, мында ар бир бутак биргелешкен (даракка окшош) хэшинг аркасында бардык астыңкы бутактарды жана түйүндөрдү текшерет. Акыркы хэшке ээ болуу менен колдонуучу операциялардын бүткүл тарыхынын тууралыгын, ошондой эле маалымат базасынын мурунку абалынын тууралыгын текшере алат (базанын жаңы абалынын тамыр текшерүү хэши өткөн абалды эске алуу менен эсептелет. ). Жаңы жазууларды текшерүү жана кошуу үчүн Restful API, ошондой эле cli интерфейси берилет.
- Fulcio (SigStore WebPKI) OpenID Connect аркылуу аутентификацияланган электрондук почтанын негизинде кыска мөөнөттүү сертификаттарды чыгарган сертификациялык органдарды (Root-CAs) түзүү системасы. Сертификаттын иштөө мөөнөтү 20 мүнөттү түзөт, анын ичинде иштеп чыгуучуда санариптик колтамга түзүү үчүн убакыт болушу керек (эгерде сертификат кийинчерээк чабуулчунун колуна түшүп калса, анын мөөнөтү бүтүп калат).
- Сosign (Container Signing) – бул контейнерлер үчүн кол тамгаларды түзүү, колдорду текшерүү жана кол коюлган контейнерлерди OCI (Ачык Контейнер Демилгеси) менен шайкеш репозиторийлерге жайгаштыруу үчүн инструменталдык курал.
Source: opennet.ru