گوگل اعلان ڪيو ته اجزاء جي پهرين مستحڪم رليز جي ٺهڻ جو جيڪو ٺاهي ٿو Sigstore پروجيڪٽ، جيڪو ڪم ڪندڙ عملن کي ٺاهڻ لاءِ موزون قرار ڏنو ويو آهي. Sigstore ڊجيٽل دستخط استعمال ڪندي سافٽ ويئر جي تصديق لاءِ اوزار ۽ خدمتون ٺاهي ٿو ۽ تبديلين جي صداقت جي تصديق ڪندڙ عوامي لاگ کي برقرار رکي ٿو (شفافيت لاگ). پروجيڪٽ غير منافع بخش تنظيم لينڪس فائونڊيشن جي سرپرستي هيٺ Google، Red Hat، Cisco، vmWare، GitHub ۽ HP Enterprise پاران OpenSSF (اوپن سورس سيڪيورٽي فائونڊيشن) ۽ پردو يونيورسٽي جي شموليت سان ترقي ڪئي پئي وڃي.
Sigstore سمجهي سگهجي ٿو هڪ Let's Encrypt for Code، سرٽيفڪيٽ مهيا ڪرڻ لاءِ ڊجيٽل سائن ان ڪوڊ ۽ اوزار خودڪار تصديق لاءِ. Sigstore سان، ڊولپرز ڊجيٽل طور تي ايپليڪيشن سان لاڳاپيل نمونن تي دستخط ڪري سگھن ٿا جهڙوڪ رليز فائلون، ڪنٽينر تصويرون، منشور، ۽ عملدار. سائن ان ڪرڻ لاءِ استعمال ٿيل مواد ٽمپر پروف پبلڪ لاگ ۾ ظاهر ٿئي ٿو جيڪو تصديق ۽ آڊيٽنگ لاءِ استعمال ٿي سگهي ٿو.
مستقل چابين جي بدران، Sigstore استعمال ڪري ٿو مختصر-رهندڙ عارضي ڪنجيون جيڪي OpenID Connect فراهم ڪندڙن پاران تصديق ٿيل سندن جي بنياد تي ٺاهيل آهن (ڊجيٽل دستخط ٺاهڻ لاءِ ضروري ڪنجيون پيدا ڪرڻ وقت، ڊولپر پاڻ کي اي ميل بائنڊنگ سان OpenID فراهم ڪندڙ جي ذريعي سڃاڻي ٿو. ). چيڪن جي صداقت جي تصديق عوامي مرڪزي لاگ پاران ڪئي وئي آهي، جيڪا توهان کي پڪ ڪرڻ جي اجازت ڏئي ٿي ته دستخط جو ليکڪ بلڪل اهو آهي جيڪو هو دعويٰ ڪري ٿو، ۽ دستخط ساڳئي شرڪت ڪندڙ طرفان ٺاهيو ويو هو جيڪو گذريل رليز لاءِ ذميوار هو.
عمل درآمد لاءِ Sigstore جي تياري ٻن اهم حصن جي رليز جي ٺهڻ جي ڪري آهي - Rekor 1.0 ۽ Fulcio 1.0، جن جي پروگرامنگ انٽرفيس کي مستحڪم قرار ڏنو ويو آهي ۽ ان کان پوءِ پسمانده مطابقت برقرار رکي ٿي. خدمت جا حصا Go ۾ لکيل آهن ۽ Apache 2.0 لائسنس تحت ورهايل آهن.
ريڪور جزو ڊجيٽل طور تي دستخط ٿيل ميٽاداٽا کي محفوظ ڪرڻ لاءِ لاگ ان پليپشن تي مشتمل آهي جيڪو پروجيڪٽ بابت معلومات کي ظاهر ڪري ٿو. ڊيٽا جي بدعنواني جي خلاف سالميت ۽ تحفظ کي يقيني بڻائڻ لاء، هڪ مرڪل وڻ جي وڻ جي جوڙجڪ کي استعمال ڪيو ويندو آهي جنهن ۾ هر شاخ سڀني هيٺيون شاخن ۽ نوڊس جي گڏيل (وڻ) هشنگ ذريعي تصديق ڪري ٿي. حتمي هيش حاصل ڪرڻ سان، صارف عملن جي پوري تاريخ جي درستي جي تصديق ڪري سگهي ٿو، انهي سان گڏ ڊيٽابيس جي ماضي جي رياستن جي صحيحيت (ڊيٽابيس جي نئين رياست جي روٽ جي تصديق واري هيش کي حساب ڪيو ويو آهي ماضي جي حالت کي حساب ۾ رکندي. ). هڪ RESTful API مهيا ڪئي وئي آهي تصديق ڪرڻ ۽ نوان رڪارڊ شامل ڪرڻ لاءِ، انهي سان گڏ هڪ ڪمانڊ لائن انٽرفيس.
Fulcio جزو (SigStore WebPKI) سرٽيفڪيٽ اختيارين (روٽ CAs) ٺاهڻ لاءِ هڪ سسٽم شامل ڪري ٿو جيڪو OpenID Connect ذريعي تصديق ٿيل اي ميل جي بنياد تي مختصر مدت جي سرٽيفڪيٽ جاري ڪري ٿو. سرٽيفڪيٽ جي زندگي 20 منٽ آهي، جنهن دوران ڊولپر کي ڊجيٽل دستخط پيدا ڪرڻ جو وقت هجڻ گهرجي (جيڪڏهن مستقبل ۾ سرٽيفڪيٽ هڪ حملي ڪندڙ جي هٿن ۾ پوي ٿو، اهو اڳ ۾ ئي ختم ٿي ويندو). اضافي طور تي، پروجيڪٽ Cosign (Container Signing) ٽول ڪٽ ٺاهي ٿو، جيڪو ڪنٽينرز لاءِ دستخط پيدا ڪرڻ، دستخطن جي تصديق ڪرڻ ۽ OCI (اوپن ڪنٽينر شروعات) سان مطابقت رکندڙ مخزنن ۾ دستخط ٿيل ڪنٽينرز کي رکڻ لاءِ ٺهيل آهي.
Sigstore جو تعارف اهو ممڪن بڻائي ٿو ته سافٽ ويئر ڊويزن چينلز جي سيڪيورٽي کي وڌائڻ ۽ حملن کان بچاء جو مقصد لائبريرين ۽ انحصار کي متبادل بڻايو وڃي (سپلائي چين). اوپن سورس سافٽ ويئر ۾ اهم سيڪيورٽي مسئلن مان هڪ آهي پروگرام جي ماخذ جي تصديق ڪرڻ ۽ تعمير جي عمل جي تصديق ڪرڻ ۾ مشڪل. مثال طور، اڪثر پروجيڪٽس رليز جي سالميت کي جانچڻ لاءِ هيش استعمال ڪندا آهن، پر اڪثر ڪري تصديق لاءِ ضروري معلومات غير محفوظ ٿيل سسٽم تي محفوظ ڪئي ويندي آهي ۽ ڪوڊ سان گڏ گڏيل ذخيرن ۾، جنهن جي نتيجي ۾، جيڪڏهن سمجهوتو ڪيو وڃي ٿو، حملي ڪندڙ ضروري فائلن کي تبديل ڪري سگهن ٿا. تصديق ۽، شڪ پيدا ڪرڻ کان سواء، بدسلوڪي تبديلين کي متعارف ڪرايو.
ريليز جي تصديق لاءِ ڊجيٽل دستخطن جو استعمال اڃا تائين وسيع نه ٿيو آهي اهم انتظامن ۾ مشڪلاتن جي ڪري، عوامي چابين جي ورڇ، ۽ سمجھوتي ڪيل چابين کي رد ڪرڻ. معنى ۾ تصديق ڪرڻ لاءِ، ان کان علاوه ضروري آهي ته هڪ قابل اعتماد ۽ محفوظ عمل کي منظم ڪرڻ لاءِ عوامي چابيون ۽ چيڪسم ورهائڻ لاءِ. جيتوڻيڪ هڪ ڊجيٽل دستخط سان، ڪيترائي صارف تصديق کي نظر انداز ڪندا آهن ڇو ته اهو وقت وٺندو آهي تصديق جي عمل کي سکڻ ۽ سمجهڻ لاءِ ڪهڙي ڪيچي قابل اعتماد آهي. Sigstore پروجيڪٽ انهن عملن کي آسان ۽ خودڪار ڪرڻ جي ڪوشش ڪري ٿو تيار ڪيل ۽ ثابت حل فراهم ڪندي.
جو ذريعو: opennet.ru