Red Hat နှင့် Google တို့သည် Purdue University နှင့် အတူ Sigstore ပရောဂျက်ကို တည်ထောင်ခဲ့ပြီး စစ်မှန်ကြောင်း အတည်ပြုရန် ဒစ်ဂျစ်တယ်လက်မှတ်များကို အသုံးပြု၍ ဆော့ဖ်ဝဲအတည်ပြုရန်နှင့် အများသူငှာ မှတ်တမ်းကို ထိန်းသိမ်းရန်အတွက် ကိရိယာများနှင့် ဝန်ဆောင်မှုများကို ဖန်တီးရန်အတွက် ရည်ရွယ်၍ Sigstore ပရောဂျက်ကို တည်ထောင်ခဲ့သည်။ ဤပရောဂျက်အား အကျိုးအမြတ်မယူသောအဖွဲ့အစည်း Linux Foundation ၏ ပံ့ပိုးမှုအောက်တွင် အကောင်အထည်ဖော်မည်ဖြစ်သည်။
အဆိုပြုထားသော ပရောဂျက်သည် ဆော့ဖ်ဝဲလ်ဖြန့်ဖြူးရေးလမ်းကြောင်းများ၏ လုံခြုံရေးကို မြှင့်တင်ပေးမည်ဖြစ်ပြီး ဆော့ဖ်ဝဲအစိတ်အပိုင်းများနှင့် မှီခိုမှုများ (supply chain) တို့ကို အစားထိုးရန် ရည်ရွယ်သည့် တိုက်ခိုက်မှုများကို ကာကွယ်ပေးမည်ဖြစ်သည်။ open source ဆော့ဖ်ဝဲတွင် အဓိက လုံခြုံရေးပြဿနာများထဲမှတစ်ခုမှာ ပရိုဂရမ်၏ရင်းမြစ်ကို အတည်ပြုရန်နှင့် တည်ဆောက်မှုလုပ်ငန်းစဉ်ကို အတည်ပြုရန် အခက်အခဲဖြစ်သည်။ ဥပမာအားဖြင့်၊ ပရောဂျက်အများစုသည် ထုတ်ဝေမှု၏မှန်ကန်မှုကိုအတည်ပြုရန် hashes ကိုအသုံးပြုသော်လည်း စစ်မှန်ကြောင်းအထောက်အထားပြရန်အတွက် လိုအပ်သောအချက်အလက်များကို အကာအကွယ်မဲ့စနစ်များနှင့် မျှဝေထားသောကုဒ်သိုလှောင်နေရာများတွင် သိမ်းဆည်းထားလေ့ရှိသောကြောင့် တိုက်ခိုက်သူများသည် အတည်ပြုချက်အတွက်လိုအပ်သောဖိုင်များကို အလျှော့အတင်းပြုလုပ်နိုင်ပြီး အန္တရာယ်ရှိသောပြောင်းလဲမှုများကို မိတ်ဆက်ပေးနိုင်သည် သံသယမပွားပါနဲ့။
သော့များကို စီမံခန့်ခွဲရန်၊ အများသူငှာသော့များကို ဖြန့်ဝေခြင်းနှင့် ကျိုးပေါက်သွားသောသော့များကို ရုပ်သိမ်းခြင်းအတွက် အခက်အခဲများကြောင့် ပရောဂျက်များ၏ အချိုးအစားအနည်းငယ်မျှသာ ဒစ်ဂျစ်တယ်လက်မှတ်များကို အသုံးပြုပါသည်။ မှန်ကန်ကြောင်း အတည်ပြုနိုင်ရန်၊ အများသူငှာသော့များနှင့် checksum များဖြန့်ဝေခြင်းအတွက် ယုံကြည်စိတ်ချရပြီး လုံခြုံသောလုပ်ငန်းစဉ်ကိုလည်း စုစည်းရန် လိုအပ်ပါသည်။ ဒစ်ဂျစ်တယ်လက်မှတ်ဖြင့်ပင်၊ အသုံးပြုသူအများအပြားသည် အတည်ပြုခြင်းလုပ်ငန်းစဉ်ကို လေ့လာပြီး မည်သည့်သော့ကို ယုံကြည်ထိုက်သည်ကို နားလည်ရန် အချိန်ဖြုန်းထားသောကြောင့် အတည်ပြုချက်ကို လျစ်လျူရှုထားသည်။
Sigstore သည် ဒစ်ဂျစ်တယ်ကုဒ်အတွက် လက်မှတ်များနှင့် အလိုအလျောက် အတည်ပြုခြင်းအတွက် ကိရိယာများကို ပံ့ပိုးပေးသည့် ကုဒ်အတွက် Let's Encrypt နှင့် ညီမျှသည်ဟု အမွှမ်းတင်ထားသည်။ Sigstore ဖြင့်၊ developer များသည် ဖိုင်များ၊ ကွန်တိန်နာပုံများ၊ manifests နှင့် executable များကဲ့သို့သော အပလီကေးရှင်းနှင့်ပတ်သက်သည့် ရှေးဟောင်းပစ္စည်းများကို ဒစ်ဂျစ်တယ်ဖြင့် လက်မှတ်ထိုးနိုင်သည်။ Sigstore ၏ အထူးအင်္ဂါရပ်မှာ လက်မှတ်ရေးထိုးခြင်းအတွက် အသုံးပြုသည့် ပစ္စည်းကို စိစစ်ခြင်းနှင့် စာရင်းစစ်ခြင်းအတွက် အသုံးပြုနိုင်သည့် ကမောက်ကမပြနိုင်သော အများသူငှာမှတ်တမ်းတွင် ထင်ဟပ်နေပါသည်။
အမြဲတမ်းသော့များအစား၊ Sigstore သည် OpenID Connect ဝန်ဆောင်မှုပေးသူများမှအတည်ပြုထားသောအထောက်အထားများပေါ်တွင်အခြေခံ၍ထုတ်ပေးသောသက်တမ်းတိုသော့များကိုအသုံးပြုသည် (ဒစ်ဂျစ်တယ်လက်မှတ်အတွက်သော့များထုတ်ပေးချိန်တွင် developer သည် အီးမေးလ်နှင့်ချိတ်ဆက်ထားသော OpenID ဝန်ဆောင်မှုပေးသူမှတစ်ဆင့် သူ့ကိုယ်သူဖော်ထုတ်သည်)။ သော့များ၏ စစ်မှန်မှုကို အများသူငှာ ဗဟိုချုပ်ကိုင်ထားသော မှတ်တမ်းကို အသုံးပြု၍ စိစစ်ပြီး ၎င်းသည် လက်မှတ်ရေးသားသူသည် မည်သူဖြစ်ကြောင်း အတိအကျ သိရှိနိုင်ပြီး လက်မှတ်ကို ယခင်ထုတ်ဝေမှုများအတွက် တာဝန်ရှိသည့် တူညီသောပါဝင်သူမှ ဖွဲ့စည်းထားခြင်းဖြစ်ကြောင်းသိရသည်။
Sigstore သည် သင်အသုံးပြုနိုင်ပြီးသား အဆင်သင့်ဖြစ်နိုင်သော ဝန်ဆောင်မှုတစ်ခုနှင့် သင့်ကိုယ်ပိုင်စက်ပစ္စည်းများတွင် အလားတူဝန်ဆောင်မှုများကို အသုံးချနိုင်စေမည့် ကိရိယာအစုံကို ပံ့ပိုးပေးပါသည်။ ဝန်ဆောင်မှုသည် developer များနှင့် software providers အားလုံးအတွက် အခမဲ့ဖြစ်ပြီး ကြားနေပလပ်ဖောင်း - Linux Foundation တွင် အသုံးပြုထားသည်။ ဝန်ဆောင်မှု၏ အစိတ်အပိုင်းအားလုံးသည် Go တွင်ရေးထားသော open source ဖြစ်ပြီး Apache 2.0 လိုင်စင်အောက်တွင် ဖြန့်ဝေထားသည်။
တီထွင်ထားသော အစိတ်အပိုင်းများထဲတွင် ကျွန်ုပ်တို့မှတ်သားနိုင်သည်-
- Rekor သည် ပရောဂျက်များနှင့်ပတ်သက်သော အချက်အလက်များကို ထင်ဟပ်စေသော ဒစ်ဂျစ်တယ်လက်မှတ်ထိုးထားသော မက်တာဒေတာကို သိမ်းဆည်းရန်အတွက် မှတ်တမ်းအကောင်အထည်ဖော်မှုတစ်ခုဖြစ်သည်။ ခိုင်မာမှုရှိစေရန်နှင့် ဒေတာဖောက်ပြန်ခြင်းမှ ကာကွယ်ရန်၊ အကိုင်းအခက်တစ်ခုစီသည် အရင်းခံအကိုင်းအခက်များနှင့် ဆုံမှတ်များအားလုံးကို ပေါင်းစပ်ထားသည့် (သစ်ပင်ကဲ့သို့) ဟက်ခြင်းအားကျေးဇူးတင်လျက် သစ်ပင်နှင့်တူသော "Merkle Tree" ကို အသုံးပြုထားသည်။ နောက်ဆုံး hash ပါရှိခြင်းကြောင့် အသုံးပြုသူသည် လုပ်ဆောင်ချက်မှတ်တမ်းတစ်ခုလုံး၏ မှန်ကန်မှုအပြင် ဒေတာဘေ့စ်၏ ယခင်အခြေအနေများ၏ မှန်ကန်မှုကိုလည်း စစ်ဆေးနိုင်သည် (ဒေတာဘေ့စ်၏ အခြေအနေအသစ်၏ အမြစ်အတည်ပြုခြင်း hash ကို ယခင်အခြေအနေဖြင့် တွက်ချက်ပါသည်။ ) မှတ်တမ်းအသစ်များကို အတည်ပြုပြီး ပေါင်းထည့်ရန်၊ Restful API နှင့် cli interface ကို ပေးထားသည်။
- Fulcio (SigStore WebPKI) သည် OpenID Connect မှတစ်ဆင့် စစ်မှန်ကြောင်းသက်သေပြထားသော အီးမေးလ်အပေါ်အခြေခံ၍ သက်တမ်းတိုလက်မှတ်များကိုထုတ်ပေးသည့် အသိအမှတ်ပြုအာဏာပိုင်များ (Root-CAs) ဖန်တီးရန်အတွက် စနစ်တစ်ခုဖြစ်သည်။ လက်မှတ်၏သက်တမ်းသည် မိနစ် 20 ဖြစ်ပြီး၊ ဆော့ဖ်ဝဲရေးသားသူသည် ဒစ်ဂျစ်တယ်လက်မှတ်ထုတ်ပေးရန် အချိန်ရှိရမည် (အသိအမှတ်ပြုလက်မှတ်သည် နောက်ပိုင်းတွင် တိုက်ခိုက်သူလက်သို့ ကျရောက်ပါက၊ ၎င်းသည် သက်တမ်းကုန်သွားလိမ့်မည်)။
- Сosign (Container Signing) သည် OCI (Open Container Initiative) နှင့် ကိုက်ညီသော သိုလှောင်ရုံများတွင် လက်မှတ်များထုတ်ပေးခြင်း၊ လက်မှတ်များကို စစ်ဆေးခြင်းနှင့် လက်မှတ်ထိုးထားသော ကွန်တိန်နာများကို ထားရှိခြင်းအတွက် ကိရိယာတန်ဆာပလာတစ်ခုဖြစ်သည်။
source: opennet.ru