Sigstore ၏ cryptographic အတည်ပြုခြင်းစနစ်အား ထုတ်ပြန်ကြေညာခဲ့သည်။

Google သည် လုပ်ငန်းအကောင်အထည်ဖော်မှုများကို ဖန်တီးရန်အတွက် သင့်လျော်သည်ဟု ကြေညာထားသည့် Sigstore ပရောဂျက်ကို ဖွဲ့စည်းသည့် အစိတ်အပိုင်းများ၏ ပထမဆုံးတည်ငြိမ်သောဖြန့်ချိမှုများကို ဖွဲ့စည်းကြောင်း ကြေညာခဲ့သည်။ Sigstore သည် ဒစ်ဂျစ်တယ်လက်မှတ်များကို အသုံးပြု၍ ဆော့ဖ်ဝဲလ်အတည်ပြုခြင်းအတွက် ကိရိယာများနှင့် ဝန်ဆောင်မှုများကို တီထွင်ပြီး အပြောင်းအလဲများ၏ စစ်မှန်ကြောင်း အတည်ပြုသည့် အများသူငှာ မှတ်တမ်းကို ထိန်းသိမ်းခြင်း (ပွင့်လင်းမြင်သာမှုမှတ်တမ်း)။ ဤပရောဂျက်ကို Google၊ Red Hat၊ Cisco၊ vmWare၊ GitHub နှင့် HP Enterprise တို့မှ အကျိုးအမြတ်မယူသောအဖွဲ့အစည်း Linux Foundation ၏ ပံ့ပိုးမှုအောက်တွင် OpenSSF (Open Source Security Foundation) နှင့် Purdue University တို့၏ ပူးပေါင်းပါဝင်မှုဖြင့် ဖော်ဆောင်လျက်ရှိသည်။

Sigstore သည် ကုဒ်အတွက် ဒစ်ဂျစ်တယ်လက်မှတ်ထိုးခြင်းအတွက် လက်မှတ်များနှင့် အလိုအလျောက်အတည်ပြုခြင်းအတွက် ကိရိယာများကို ပံ့ပိုးပေးသည့် ကုဒ်အတွက် Let's Encrypt အဖြစ် ယူဆနိုင်သည်။ Sigstore ဖြင့်၊ developer များသည် ထုတ်ပေးသည့်ဖိုင်များ၊ ကွန်တိန်နာပုံများ၊ manifests နှင့် executable များကဲ့သို့သော အပလီကေးရှင်းနှင့်ပတ်သက်သည့် ရှေးဟောင်းပစ္စည်းများကို ဒစ်ဂျစ်တယ်ဖြင့် လက်မှတ်ထိုးနိုင်သည်။ လက်မှတ်ရေးထိုးရာတွင် အသုံးပြုသည့် ပစ္စည်းကို စိစစ်ခြင်းနှင့် စာရင်းစစ်ခြင်းအတွက် အသုံးပြုနိုင်သည့် အနှောင့်အယှက်ပေးသော အများသူငှာ မှတ်တမ်းတွင် ရောင်ပြန်ဟပ်ပါသည်။

အမြဲတမ်းသော့များအစား၊ Sigstore သည် OpenID Connect ဝန်ဆောင်မှုပေးသူများမှစိစစ်ထားသောအထောက်အထားများပေါ်မူတည်၍ထုတ်ပေးသောသက်တမ်းတိုသော့များကိုအသုံးပြုသည် (ဒစ်ဂျစ်တယ်လက်မှတ်ဖန်တီးရန်လိုအပ်သောသော့များကိုထုတ်လုပ်ချိန်တွင်၊ ဆော့ဖ်ဝဲအင်ဂျင်နီယာသည် OpenID ဝန်ဆောင်မှုပေးသူမှတစ်ဆင့် အီးမေးလ်ချိတ်ဆက်မှုဖြင့်မိမိကိုယ်ကိုဖော်ထုတ်သည်။ ) သော့များ၏ စစ်မှန်မှုကို အများသူငှာ ဗဟိုချုပ်ကိုင်ထားသော မှတ်တမ်းတစ်ခုဖြင့် အတည်ပြုပြီး ၎င်းသည် လက်မှတ်ရေးသားသူသည် သူဆိုလိုသည်မှာ အတိအကျဖြစ်ကြောင်း သေချာစေပြီး လက်မှတ်ကို ယခင်ထုတ်ဝေမှုအတွက် တာဝန်ရှိသည့် တူညီသောပါဝင်သူမှ ဖွဲ့စည်းထားခြင်းဖြစ်သည်။

အကောင်အထည်ဖော်ရန်အတွက် Sigstore ၏ အဆင်သင့်ဖြစ်မှုသည် Rekor 1.0 နှင့် Fulcio 1.0 တို့၏ အဓိကအစိတ်အပိုင်းနှစ်ခုကို ထုတ်ဝေမှုများကြောင့်ဖြစ်ပြီး၊ ပရိုဂရမ်းမင်း၏အင်တာဖေ့စ်များသည် တည်ငြိမ်ကြောင်းကြေငြာပြီး ယခုမှစပြီး နောက်ပြန်တွဲဖက်မှုကို ဆက်လက်ထိန်းသိမ်းထားနိုင်ခြင်းကြောင့်ဖြစ်သည်။ ဝန်ဆောင်မှုအစိတ်အပိုင်းများကို Go တွင်ရေးသားထားပြီး Apache 2.0 လိုင်စင်အောက်တွင် ဖြန့်ဝေထားသည်။

Rekor အစိတ်အပိုင်းတွင် ပရောဂျက်များနှင့်ပတ်သက်သည့် အချက်အလက်များကို ထင်ဟပ်စေသည့် ဒစ်ဂျစ်တယ်လက်မှတ်ထိုးထားသော မက်တာဒေတာကို သိမ်းဆည်းရန်အတွက် မှတ်တမ်းအကောင်အထည်ဖော်မှုတစ်ခုပါရှိသည်။ ဒေတာအကျင့်ပျက်ခြစားမှုမှ ခိုင်မာမှုနှင့် ကာကွယ်မှုသေချာစေရန်၊ အကိုင်းအခက်တစ်ခုစီသည် အရင်းခံအကိုင်းအခက်များနှင့် ဆုံမှတ်အားလုံးကို ပူးတွဲ (သစ်ပင်) ဟက်ခြင်းမှတစ်ဆင့် စစ်ဆေးသည့် Merkle Tree သစ်ပင်ဖွဲ့စည်းပုံကို အသုံးပြုပါသည်။ နောက်ဆုံး hash ပါရှိခြင်းကြောင့် အသုံးပြုသူသည် လုပ်ဆောင်ချက်များ၏ မှတ်တမ်းတစ်ခုလုံး၏ မှန်ကန်မှုအပြင် ဒေတာဘေ့စ်၏ ယခင်အခြေအနေများ၏ မှန်ကန်မှုကိုလည်း စစ်ဆေးနိုင်သည် (ဒေတာဘေ့စ်၏ အခြေအနေအသစ်၏ အမြစ်အတည်ပြုခြင်း hash ကို အတိတ်အခြေအနေကို ထည့်သွင်းတွက်ချက်ပါသည်။ ) မှတ်တမ်းအသစ်များကို စစ်ဆေးအတည်ပြုခြင်းနှင့် ပေါင်းထည့်ခြင်းအပြင် အမိန့်ပေးလိုင်းအင်တာဖေ့စ်အတွက် RESTful API ကို ပံ့ပိုးပေးထားသည်။

Fulcio အစိတ်အပိုင်း (SigStore WebPKI) တွင် OpenID Connect မှတစ်ဆင့် စစ်မှန်ကြောင်းသက်သေပြထားသော အီးမေးလ်အပေါ် အခြေခံ၍ သက်တမ်းတိုသော လက်မှတ်များကို ထုတ်ပေးသည့် လက်မှတ်အာဏာပိုင်များ (root CAs) ဖန်တီးရန်အတွက် စနစ်တစ်ခု ပါဝင်သည်။ လက်မှတ်၏ သက်တမ်းသည် မိနစ် 20 ဖြစ်ပြီး၊ developer သည် ဒစ်ဂျစ်တယ် လက်မှတ်ကို ထုတ်လုပ်ရန် အချိန်ရှိရမည် (နောင်တွင် လက်မှတ်သည် တိုက်ခိုက်သူလက်သို့ ကျရောက်ပါက၊ ၎င်းသည် သက်တမ်းကုန်သွားလိမ့်မည်)။ ထို့အပြင်၊ ပရောဂျက်သည် ကွန်တိန်နာများအတွက် လက်မှတ်များထုတ်လုပ်ရန်၊ လက်မှတ်များကို အတည်ပြုရန်နှင့် OCI (Open Container Initiative) နှင့် တွဲဖက်အသုံးပြုနိုင်သော သိုလှောင်ခန်းများတွင် လက်မှတ်ရေးထိုးထားသော ကွန်တိန်နာများကို ထားရှိရန် ဒီဇိုင်းထုတ်ထားသည့် Cosign (Container Signing) ကိရိယာအစုံကို တီထွင်ထုတ်လုပ်ပါသည်။

Sigstore ၏နိဒါန်းတွင် ဆော့ဖ်ဝဲလ်ဖြန့်ဖြူးရေးလမ်းကြောင်းများ၏ လုံခြုံရေးကို တိုးမြှင့်ရန်နှင့် စာကြည့်တိုက်များနှင့် မှီခိုမှုများ (supply chain) တို့ကို အစားထိုးရန် ရည်ရွယ်သည့် တိုက်ခိုက်မှုများကို ကာကွယ်ရန် ဖြစ်နိုင်သည်။ open source ဆော့ဖ်ဝဲလ်တွင် အဓိက လုံခြုံရေးပြဿနာများထဲမှတစ်ခုမှာ ပရိုဂရမ်၏ရင်းမြစ်ကို အတည်ပြုရန်နှင့် တည်ဆောက်မှုလုပ်ငန်းစဉ်ကို အတည်ပြုရန် အခက်အခဲဖြစ်သည်။ ဥပမာအားဖြင့်၊ ပရောဂျက်အများစုသည် ထုတ်ဝေမှု၏ခိုင်မာမှုကိုစစ်ဆေးရန် hashes ကိုအသုံးပြုသော်လည်း စစ်မှန်ကြောင်းအထောက်အထားပြရန်အတွက် လိုအပ်သောအချက်အလက်များကို အကာအကွယ်မရှိသောစနစ်များနှင့် မျှဝေထားသော repositories များတွင် ကုဒ်ဖြင့်သိမ်းဆည်းထားသောကြောင့်၊ အပေးအယူခံရပါက တိုက်ခိုက်သူများသည် လိုအပ်သောဖိုင်များကို အစားထိုးနိုင်ပါသည်။ အတည်ပြုခြင်းနှင့် သံသယစိတ်မဖြစ်စေဘဲ အန္တရာယ်ရှိသော အပြောင်းအလဲများကို မိတ်ဆက်ပါ။

သော့စီမံခန့်ခွဲမှု၊ အများသူငှာသော့များ ဖြန့်ဖြူးခြင်းနှင့် အပေးအယူခံရသောသော့များကို ရုတ်သိမ်းခြင်းစသည့် အခက်အခဲများကြောင့် ထုတ်ဝေမှုအတည်ပြုခြင်းအတွက် ဒစ်ဂျစ်တယ်လက်မှတ်များအသုံးပြုမှုသည် ကျယ်ပြန့်လာခြင်းမရှိသေးပေ။ မှန်ကန်ကြောင်း အတည်ပြုခြင်းအတွက်၊ အများသူငှာသော့များနှင့် checksum များဖြန့်ဝေခြင်းအတွက် ယုံကြည်စိတ်ချရပြီး လုံခြုံသောလုပ်ငန်းစဉ်ကို စုစည်းရန်လည်း လိုအပ်ပါသည်။ ဒစ်ဂျစ်တယ်လက်မှတ်ဖြင့်ပင်၊ အသုံးပြုသူအများအပြားသည် အတည်ပြုခြင်းလုပ်ငန်းစဉ်ကို လေ့လာရန်နှင့် မည်သည့်သော့သည် ယုံကြည်စိတ်ချရကြောင်း နားလည်ရန် အချိန်ယူရသောကြောင့် အတည်ပြုချက်ကို လျစ်လျူရှုထားသည်။ Sigstore ပရောဂျက်သည် အဆင်သင့်လုပ်ထားပြီး သက်သေပြထားသော ဖြေရှင်းချက်ကို ပံ့ပိုးပေးခြင်းဖြင့် ဤလုပ်ငန်းစဉ်များကို ရိုးရှင်းစေပြီး အလိုအလျောက်လုပ်ဆောင်ရန် ကြိုးစားပါသည်။

source: opennet.ru