Red Hat болон Google нь Purdue их сургуультай хамтран дижитал гарын үсэг ашиглан програм хангамжийг баталгаажуулах хэрэгсэл, үйлчилгээг бий болгох, жинхэнэ эсэхийг баталгаажуулахын тулд нийтийн бүртгэл хөтлөх зорилготой Sigstore төслийг үүсгэн байгуулжээ (ил тод байдлын бүртгэл). Энэхүү төслийг Линукс сан ашгийн бус байгууллагын ивээл дор боловсруулах юм.
Санал болгож буй төсөл нь програм хангамжийн түгээлтийн сувгуудын аюулгүй байдлыг сайжруулж, програм хангамжийн бүрэлдэхүүн хэсэг, хамаарлыг (нийлүүлэлтийн сүлжээ) солиход чиглэсэн халдлагаас хамгаалах болно. Нээлттэй эхийн програм хангамжийн аюулгүй байдлын гол асуудлуудын нэг нь програмын эх сурвалжийг шалгах, бүтээх процессыг шалгахад бэрхшээлтэй байдаг. Жишээлбэл, ихэнх төслүүд нь хувилбарын бүрэн бүтэн байдлыг шалгахын тулд хэшийг ашигладаг боловч баталгаажуулахад шаардлагатай мэдээлэл нь хамгаалалтгүй систем, кодын хуваалцсан репозитариудад хадгалагддаг бөгөөд үүний үр дүнд халдагчид баталгаажуулахад шаардлагатай файлуудыг эвдэж, хортой өөрчлөлт оруулах боломжтой байдаг. сэжиг төрүүлэхгүйгээр.
Түлхүүрүүдийг удирдах, нийтийн түлхүүрийг түгээх, эвдэрсэн түлхүүрүүдийг хүчингүй болгоход бэрхшээлтэй байдаг тул төслийн цөөн хэсэг нь тоон гарын үсгийг хэвлэлтийг түгээхдээ ашигладаг. Баталгаажуулалтыг утга учиртай болгохын тулд нийтийн түлхүүр, шалгах нийлбэрийг түгээх найдвартай, найдвартай үйл явцыг зохион байгуулах шаардлагатай. Тоон гарын үсэгтэй байсан ч олон хэрэглэгчид баталгаажуулалтын үйл явцыг судалж, аль түлхүүр найдвартай болохыг ойлгоход цаг зарцуулах шаардлагатай байдаг тул баталгаажуулалтыг үл тоомсорлодог.
Sigstore нь кодыг дижитал гарын үсэг зурах гэрчилгээ, баталгаажуулалтыг автоматжуулах хэрэгслээр хангадаг Let's Encrypt кодтой дүйцэхүйц гэж үздэг. Sigstore-ийн тусламжтайгаар хөгжүүлэгчид хувилбарын файл, контейнерийн зураг, манифест, гүйцэтгэх файл зэрэг програмтай холбоотой олдворуудад дижитал гарын үсэг зурах боломжтой. Sigstore-ийн онцлог нь гарын үсэг зурахад ашигласан материалыг баталгаажуулах, аудит хийхэд ашиглаж болох хөндлөнгийн бүртгэлд тусгах явдал юм.
Байнгын түлхүүрүүдийн оронд Sigstore нь богино хугацааны түр зуурын түлхүүрүүдийг ашигладаг бөгөөд эдгээр нь OpenID Connect үйлчилгээ үзүүлэгчдийн баталгаажуулсан итгэмжлэлд үндэслэн үүсгэгддэг (дижитал гарын үсгийн түлхүүрийг үүсгэх үед хөгжүүлэгч нь цахим шуудангаар холбогдсон OpenID үйлчилгээ үзүүлэгчээр дамжуулан өөрийгөө тодорхойлдог). Түлхүүрүүдийн жинхэнэ эсэхийг нийтийн төвлөрсөн бүртгэл ашиглан баталгаажуулдаг бөгөөд энэ нь гарын үсгийн зохиогч нь яг хэн болохыг нь баталгаажуулах боломжийг олгодог бөгөөд гарын үсгийг өмнөх хувилбаруудыг хариуцаж байсан ижил оролцогч бүрдүүлсэн байна.
Sigstore нь таны аль хэдийн ашиглаж болох бэлэн үйлчилгээ болон ижил төстэй үйлчилгээг өөрийн төхөөрөмж дээр байрлуулах боломжийг олгодог багц хэрэгслүүдээр хангадаг. Энэхүү үйлчилгээ нь бүх хөгжүүлэгчид болон програм хангамжийн үйлчилгээ үзүүлэгчдэд үнэ төлбөргүй байдаг бөгөөд төвийг сахисан платформ дээр байрлуулсан - Linux Foundation. Үйлчилгээний бүх бүрэлдэхүүн хэсгүүд нь Go-д бичигдсэн, Apache 2.0 лицензийн дагуу түгээгдсэн нээлттэй эх сурвалж юм.
Боловсруулсан бүрэлдэхүүн хэсгүүдийн дунд бид дараахь зүйлийг тэмдэглэж болно.
- Rekor бол төслийн талаарх мэдээллийг тусгасан дижитал гарын үсэг бүхий мета өгөгдлийг хадгалах бүртгэлийн програм юм. Мэдээллийн бүрэн бүтэн байдлыг хангах, мэдээллийн эвдрэлээс хамгаалахын тулд "Merkle Tree" мод шиг бүтцийг ашигладаг бөгөөд мөчир бүр нь үе мөчний (мод шиг) хэшний ачаар бүх суурь мөчир, зангилааг шалгадаг. Эцсийн хэшийг авснаар хэрэглэгч бүх үйл ажиллагааны түүхийн үнэн зөв, мөн мэдээллийн сангийн өмнөх төлөвүүдийн зөв эсэхийг шалгах боломжтой (өгөгдлийн сангийн шинэ төлөвийн үндсэн баталгаажуулалтын хэшийг өнгөрсөн төлөвийг харгалзан тооцдог. ). Шинэ бичлэгүүдийг баталгаажуулах, нэмэхийн тулд Restful API, түүнчлэн cli интерфейсээр хангагдсан болно.
- Fulcio (SigStore WebPKI) нь OpenID Connect-ээр баталгаажуулсан цахим шуудан дээр тулгуурлан богино хугацааны гэрчилгээ олгодог баталгаажуулалтын байгууллага (Root-CAs) үүсгэх систем юм. Гэрчилгээний ашиглалтын хугацаа нь 20 минут бөгөөд энэ хугацаанд хөгжүүлэгч тоон гарын үсэг үүсгэх цагтай байх ёстой (хэрэв гэрчилгээ хожим халдагчийн гарт орвол түүний хугацаа аль хэдийн дууссан байх болно).
- Сosign (Container Signing) нь чингэлэгт гарын үсэг үүсгэх, гарын үсгийг баталгаажуулах, OCI (Open Container Initiative)-тай нийцтэй хадгалах санд гарын үсэгтэй контейнер байрлуулах хэрэгсэл юм.
Эх сурвалж: opennet.ru