Google faʻasalalau le faʻavaeina o faʻasalalauga faʻamautu muamua o vaega e fausia ai le poloketi Sigstore, lea e faʻaalia e talafeagai mo le faʻatinoina o galuega. Sigstore atia'e mea faigaluega ma 'au'aunaga mo le fa'amaoniaina o polokalama fa'akomepiuta e fa'aaoga ai saini fa'atekinolosi ma fa'atumauina se fa'amaumauga a le lautele e fa'amaonia ai le moni o suiga (transparency log). O loʻo atinaʻe le poloketi i lalo o le faʻalapotopotoga a le Linux Foundation e le o ni tupe mama e Google, Red Hat, Cisco, vmWare, GitHub ma HP Enterprise faʻatasi ai ma le auai o le OpenSSF (Open Source Security Foundation) faʻalapotopotoga ma le Iunivesite o Purdue.
Sigstore e mafai ona manatu o le Let's Encrypt mo code, tuʻuina atu tusi pasi e saini numera numera ma meafaigaluega e faʻautometi ai faʻamaoniga. Faatasi ai ma le Sigstore, e mafai e le au atiaʻe ona sainia faʻatekonolosi mea faʻapitoa e fesoʻotaʻi ma talosaga e pei o faila faʻamalolo, ata atigipusa, faʻaaliga, ma mea e mafai ona faʻatinoina. O mea saini o lo'o atagia i totonu o se ogalaau fa'alaua'itele e mafai ona fa'aogaina mo le fa'amaonia ma le su'etusi.
Nai lo o ki tumau, e fa'aaoga e Sigstore ki ephemeral pu'upu'u, lea e fa'avae i luga o fa'amaumauga fa'amaonia e kamupani OpenID Connect (i le taimi o le fa'atupuina o ki e mana'omia e fai ai se saini fa'atekinolosi, e fa'ailoa e le tagata fa'apitoa o ia lava e ala i le OpenID provider e feso'ota'i ma se imeli). O le faʻamaoni o ki e faʻamaonia e faʻaaoga ai se ogalaau faʻasalalau lautele, lea e mafai ai ona faʻamaonia o le tusitala o le saini o le tagata tonu lava lea na ia fai mai ai, ma o le saini na faia e le tagata lava e tasi na nafa ma faʻasalalauga ua mavae.
O le saunia o Sigstore mo le faʻatinoga e mafua ona o le faʻavaeina o faʻasalalauga o vaega autu e lua - Rekor 1.0 ma Fulcio 1.0, o fesoʻotaʻiga faʻapipiʻi o loʻo faʻaalia e mautu ma o le a faʻaauau pea ona fetaui i tua. O vaega o auaunaga o loʻo tusia i le Go ma tufatufaina i lalo ole laisene Apache 2.0.
O le vaega Rekor o lo'o iai se fa'atinoga o ogalaau mo le teuina o metadata saini fa'atekinolosi e atagia ai fa'amatalaga e uiga i galuega. Ina ia faʻamautinoa le faʻamaoni ma puipuia mai faʻamatalaga piʻopiʻo pe a maeʻa le mea moni, e faʻaaogaina se fausaga laau Merkle Tree, lea e faʻamaonia ai e lala taʻitasi lala uma ma nodes e ala i soʻotaga (laʻau) hashing. O le i ai o le hash mulimuli, e mafai e le tagata faʻaoga ona faʻamaonia le saʻo o le talaʻaga atoa o gaioiga, faʻapea foʻi ma le saʻo o setete ua tuanaʻi o le faʻamaumauga (o le aʻa faʻamaonia le hash o le tulaga fou o le database ua fuafuaina e amanaʻia le tulaga ua tuanaʻi. ). O lo'o tu'uina atu se API RESTful mo le fa'amaonia ma le fa'aopoopoina o fa'amaumauga fou, fa'apea fo'i ma se fa'atonuga laina laina.
O le vaega Fulcio (SigStore WebPKI) e aofia ai se faiga mo le fatuina o pulega faʻamaonia (root CAs) e tuʻuina atu tusi pasi puʻupuʻu e faʻavae ile imeli faʻamaonia e ala ile OpenID Connect. O le olaga atoa o le tusi faamaonia e 20 minute, lea e tatau ai i le tagata atiaʻe ona maua le taimi e faʻatupu ai se saini numera (afai e paʻu mulimuli ane le tusi faamaonia i lima o se tagata osofaʻi, o le a maeʻa). E le gata i lea, o le poloketi o loʻo atiaʻe le Cosign (Container Signing) toolkit, ua mamanuina e gaosia ai saini mo koneteina, faʻamaonia saini ma tuʻu pusa sainia i fale teu oloa e fetaui ma le OCI (Open Container Initiative).
O le faʻatinoina o le Sigstore e mafai ai ona faʻateleina le saogalemu o alalaupapa tufatufaina atu o polokalame ma puipuia mai osofaʻiga e faʻatatau i le suitulaga o faletusi ma faʻalagolago (sapalai filifili). O se tasi o faʻafitauli autu o le saogalemu i polokalama tatala punaoa o le faigata o le faʻamaonia o le puna o le polokalame ma faʻamaonia le faʻagasologa o le fausiaina. Mo se faʻataʻitaʻiga, o le tele o galuega faatino e faʻaogaina faʻailoga e faʻamaonia ai le saʻo o se faʻasalaga, ae masani lava o faʻamatalaga e manaʻomia mo le faʻamaoniaina o loʻo teuina i luga o faiga e le puipuia ma i totonu o faʻamaumauga faʻasalalau faʻatasi, o se taunuuga e mafai ai e tagata osofaʻi ona faʻafefe faila e manaʻomia mo le faʻamaonia ma faʻalauiloa suiga leaga. e aunoa ma se masalosalo.
O le fa'aogaina o saini fa'atekinolosi mo le fa'amatu'u fa'amaonia e le'i fa'asalalauina ona o faigata i le fa'afoeina o ki, tufatufaina atu o ki fa'alaua'itele, ma le soloia o ki fa'aletonu. Ina ia mafai ona faʻamaonia le faʻamaonia, e manaʻomia foʻi le faʻatulagaina o se faiga faʻalagolago ma malupuipuia mo le tufatufaina atu o ki lautele ma siaki tupe. E oo lava i se saini numera, e toatele tagata e le amanaiaina le faamaoniga ona latou te manaomia le faaaluina o le taimi e aoao ai le faagasologa o le faamaoniga ma malamalama po o le fea ki e faatuatuaina. O le poloketi a Sigstore e taumafai e faʻafaigofie ma faʻautometi nei faiga e ala i le tuʻuina atu o se fofo ua saunia ma faʻamaonia.
puna: opennet.ru