Google нь Sigstore төслийг бүрдүүлдэг бүрэлдэхүүн хэсгүүдийн анхны тогтвортой хувилбаруудыг гаргаж байгаагаа зарласан бөгөөд энэ нь ажлын хэрэгжилтийг бий болгоход тохиромжтой гэж мэдэгджээ. Sigstore нь дижитал гарын үсэг ашиглан програм хангамжийг баталгаажуулах хэрэгсэл, үйлчилгээг хөгжүүлж, өөрчлөлтийн үнэн зөвийг баталгаажуулсан нийтийн бүртгэл хөтлөх (ил тод байдлын бүртгэл). Энэхүү төслийг Linux Foundation ашгийн бус байгууллагын ивээл дор Google, Red Hat, Cisco, vmWare, GitHub, HP Enterprise компаниуд OpenSSF (Нээлттэй эхийн аюулгүй байдлын сан) байгууллага болон Пурдю их сургуулийн оролцоотойгоор боловсруулж байна.
Sigstore нь кодыг дижитал гарын үсэг зурах гэрчилгээ, баталгаажуулалтыг автоматжуулах хэрэгслээр хангадаг Let's Encrypt-ийн аналог гэж үзэж болно. Sigstore-ийн тусламжтайгаар хөгжүүлэгчид хувилбарын файл, контейнерийн зураг, манифест, гүйцэтгэх файл зэрэг програмтай холбоотой олдворуудад дижитал гарын үсэг зурах боломжтой. Гарын үсгийн материалыг баталгаажуулах, аудит хийхэд ашиглаж болох хөндлөнгийн бүртгэлд тусгасан болно.
Байнгын түлхүүрүүдийн оронд Sigstore нь богино хугацааны түр зуурын түлхүүрүүдийг ашигладаг бөгөөд эдгээр нь OpenID Connect үйлчилгээ үзүүлэгчдийн баталгаажуулсан итгэмжлэлд үндэслэн үүсгэгддэг (дижитал гарын үсэг үүсгэхэд шаардлагатай түлхүүрүүдийг үүсгэх үед хөгжүүлэгч нь OpenID үйлчилгээ үзүүлэгчээр дамжуулан өөрийгөө танина. имэйл). Түлхүүрүүдийн жинхэнэ эсэхийг нийтийн төвлөрсөн бүртгэл ашиглан баталгаажуулдаг бөгөөд энэ нь гарын үсгийн зохиогч нь яг хэн болохыг нь баталгаажуулах боломжийг олгодог бөгөөд гарын үсгийг өмнөх хувилбаруудыг хариуцаж байсан ижил оролцогч үүсгэсэн.
Sigstore-ийг хэрэгжүүлэхэд бэлэн байгаа нь Rekor 1.0 ба Fulcio 1.0 гэсэн хоёр үндсэн бүрэлдэхүүн хэсгийн хувилбаруудыг бий болгосонтой холбоотой бөгөөд тэдгээрийн програм хангамжийн интерфейс нь тогтвортой гэж зарлагдсан бөгөөд цаашид ч хоцрогдсон нийцтэй байх болно. Үйлчилгээний бүрэлдэхүүн хэсгүүдийг Go дээр бичсэн бөгөөд Apache 2.0 лицензийн дагуу түгээдэг.
Rekor бүрэлдэхүүн хэсэг нь төслийн талаарх мэдээллийг тусгасан тоон гарын үсэг бүхий мета өгөгдлийг хадгалах бүртгэлийн хэрэгжилтийг агуулдаг. Мэдээллийн бүрэн бүтэн байдлыг хангах, мэдээллийн гэмтлээс хамгаалахын тулд Merkle Tree модны бүтцийг ашигладаг бөгөөд үүнд салбар бүр нь үе мөчний (мод) хэшинг ашиглан үндсэн бүх мөчир, зангилааг шалгадаг. Эцсийн хэшийг авснаар хэрэглэгч бүх үйл ажиллагааны түүхийн үнэн зөв, мөн мэдээллийн сангийн өмнөх төлөвүүдийн зөв эсэхийг шалгах боломжтой (өгөгдлийн сангийн шинэ төлөвийн үндсэн баталгаажуулалтын хэшийг өнгөрсөн төлөвийг харгалзан тооцдог. ). Баталгаажуулах, шинэ бичлэг нэмэхэд зориулагдсан RESTful API, мөн тушаалын мөрийн интерфейсээр хангагдсан.
Fulcio бүрэлдэхүүн хэсэг (SigStore WebPKI) нь OpenID Connect-ээр баталгаажуулсан цахим шуудан дээр тулгуурлан богино хугацааны гэрчилгээ олгодог баталгаажуулалтын байгууллагуудыг (үндсэн CA) үүсгэх системийг агуулдаг. Гэрчилгээний ашиглалтын хугацаа нь 20 минут бөгөөд энэ хугацаанд хөгжүүлэгч тоон гарын үсэг үүсгэх цагтай байх ёстой (хэрэв гэрчилгээ хожим халдагчийн гарт орвол түүний хугацаа аль хэдийн дууссан байх болно). Нэмж дурдахад уг төсөл нь чингэлэгт гарын үсэг үүсгэх, гарын үсгийг баталгаажуулах, OCI (Нээлттэй савны санаачлага)-тай нийцсэн агуулахад байрлуулах зориулалттай Cosign (Container Signing) хэрэгслийн багцыг боловсруулж байна.
Sigstore-ийн хэрэгжилт нь програмын түгээлтийн сувгуудын аюулгүй байдлыг нэмэгдүүлэх, номын сан, хамаарлыг (нийлүүлэлтийн сүлжээ) орлуулахад чиглэсэн халдлагаас хамгаалах боломжийг олгодог. Нээлттэй эхийн програм хангамжийн аюулгүй байдлын гол асуудлуудын нэг нь програмын эх сурвалжийг шалгах, бүтээх процессыг шалгахад бэрхшээлтэй байдаг. Жишээлбэл, ихэнх төслүүд нь хувилбарын бүрэн бүтэн байдлыг шалгахын тулд хэшийг ашигладаг боловч баталгаажуулахад шаардлагатай мэдээлэл нь хамгаалалтгүй систем, кодын хуваалцсан репозитариудад хадгалагддаг бөгөөд үүний үр дүнд халдагчид баталгаажуулахад шаардлагатай файлуудыг эвдэж, хортой өөрчлөлт оруулах боломжтой байдаг. сэжиг төрүүлэхгүйгээр.
Түлхүүрийг удирдах, нийтийн түлхүүрийг түгээх, эвдэрсэн түлхүүрүүдийг хүчингүй болгоход хүндрэлтэй байгаа тул хувилбарын баталгаажуулалтад дижитал гарын үсгийг ашиглах нь хараахан өргөн дэлгэрээгүй байна. Баталгаажуулалтыг утга учиртай болгохын тулд нийтийн түлхүүр болон шалгах нийлбэрийг түгээх найдвартай, аюулгүй үйл явцыг зохион байгуулах шаардлагатай. Тоон гарын үсэгтэй байсан ч олон хэрэглэгчид баталгаажуулах үйл явцыг судалж, аль түлхүүр найдвартай болохыг ойлгоход цаг зарцуулах шаардлагатай байдаг тул баталгаажуулалтыг үл тоомсорлодог. Sigstore төсөл нь бэлэн, батлагдсан шийдлээр хангаснаар эдгээр үйл явцыг хялбаршуулж, автоматжуулахыг оролддог.
Эх сурвалж: opennet.ru