Google ayaa ku dhawaaqday samaynta siidooyinkii ugu horreeyay ee xasilloon ee qaybaha ka kooban mashruuca Sigstore, kaas oo lagu dhawaaqay inuu ku habboon yahay abuurista fulinta shaqada. Sigstore wuxuu horumariyaa agabka iyo adeegyada loogu talagalay xaqiijinta softiweerka iyadoo la adeegsanayo saxiixyada dhijitaalka ah iyo ilaalinta diiwaanka dadweynaha ee xaqiijinaya xaqiiqada isbeddellada (log hufnaanta). Mashruuca waxaa lagu horumarinayaa iyada oo ay hoos imanayso hay'adda aan faa'iido doonka ahayn ee Linux Foundation Google, Red Hat, Cisco, vmWare, GitHub iyo HP Enterprise iyada oo ay ka qayb qaadanayaan OpenSSF (Open Source Security Foundation) ururka iyo Jaamacadda Purdue.
Sigstore waxa loo malayn karaa inaynu sir u dhigno koodka, siinta shahaadooyinka si dhijitaal ahaan loogu saxeexo koodka iyo qalabka si otomaatig ah loogu xaqiijiyo koodka. Sigstore, horumariyayaashu waxay si dhijitaal ah u saxeexi karaan agabka la xidhiidha arjiga sida faylalka sii daynta, sawirada weelka, muujinta, iyo kuwa la fulin karo. Qalabka saxeexa waxa uu ka muuqdaa log-ga dadweynaha oo aan fara-gelin lahayn oo loo isticmaali karo hubinta iyo hubinta.
Halkii laga isticmaali lahaa furayaasha joogtada ah, Sigstore waxa uu isticmaalaa furayaasha ephemeral-gaaban, kuwaas oo la soo saaray iyada oo lagu salaynayo shahaadooyin ay xaqiijiyeen bixiyeyaasha OpenID Connect (wakhtiga la abuurayo furayaasha lagama maarmaanka u ah in la abuuro saxeex dhijitaal ah, horumariyuhu waxa uu isku aqoonsanayaa bixiyaha OpenID ee ku xidhan email). Runnimada furayaasha waxaa lagu xaqiijiyaa iyada oo la isticmaalayo log dhexe oo guud, taas oo suurtagelinaysa in la xaqiijiyo in qoraaga saxeexu yahay cidda uu isagu sheeganayo, saxiixana waxa sameeyay isla ka qaybgalayaashii masuulka ka ahaa sii deyntii hore.
U diyaargarowga Sigstore ee hirgelinta waxa sabab u ah samaynta sii daynta laba qaybood oo muhiim ah - Rekor 1.0 iyo Fulcio 1.0, kuwaas oo isku xidhka software-ka lagu sheegay mid xasiloon oo sii wadi doona inay dib u socdaan. Qaybaha adeeggu waxay ku qoran yihiin Go waxaana lagu qaybiyaa shatiga Apache 2.0.
Qaybta Rekor waxay ka kooban tahay hirgelinta log ee kaydinta xogta badan ee si dhijitaalka ah loo saxeexay ee ka tarjumaysa macluumaadka mashaariicda. Si loo hubiyo daacadnimada iyo ka ilaalinta xogta musuqmaasuqa ka dib xaqiiqda, qaab dhismeedka geedka Merkle Tree ayaa la isticmaalaa, kaas oo laan kastaa ay hubiso dhammaan laamaha hoose iyo qanjidhada iyada oo loo marayo isku-dhafka (geedka). Haysashada xashiishka kama dambaysta ah, adeegsaduhu wuxuu xaqiijin karaa saxnimada taariikhda hawlgallada oo dhan, iyo sidoo kale saxnaanta gobolladii hore ee kaydka (xashka xaqiijinta asalka ah ee gobolka cusub ee xogta waxaa la xisaabiyaa iyadoo la tixgelinayo xaaladdii hore). ). API RESTful waxaa la bixiyaa si loo xaqiijiyo laguna daro diiwaanno cusub, iyo sidoo kale interface line-ka taliska.
Qaybta Fulcio (SigStore WebPKI) waxaa ku jira nidaam lagu abuurayo maamulka shahaado bixinta (root CAs) kuwaas oo bixiya shahaadooyin wakhti gaaban oo ku salaysan iimaylka lagu xaqiijiyay isku xidhka OpenID. Cimriga shahaadadu waa 20 daqiiqo, inta lagu guda jiro horumariyuhu waa inuu haystaa wakhti uu ku soo saaro saxeex dhijitaal ah (haddii shahaadodu ay hadhoow ku dhacdo gacanta weeraryahan, mar hore way dhici doontaa). Intaa waxa dheer, mashruucu waxa uu horumarinayaa qalabka Cosign (Container Saxiixa), oo loogu talagalay in lagu soo saaro saxeexyada weelasha, xaqiijiso saxeexyada iyo meelaynta weelasha saxeexan ee kaydka la jaan qaadaya OCI (Initiative Container Furan).
Hirgelinta Sigstore waxa ay suurtogal ka dhigaysaa in la kordhiyo ammaanka waddooyinka qaybinta barnaamijka lagana ilaaliyo weerarrada lagu beddelayo maktabadaha iyo ku-tiirsanaanta (silsiladda sahayda). Mid ka mid ah dhibaatooyinka ugu muhiimsan ee amniga software-ka isha furan waa dhibaatada xaqiijinta isha barnaamijka iyo xaqiijinta habka dhismaha. Tusaale ahaan, mashaariicda intooda badani waxay isticmaalaan hashes si ay u xaqiijiyaan daacadnimada sii deynta, laakiin inta badan macluumaadka lagama maarmaanka u ah xaqiijinta waxaa lagu kaydiyaa nidaamyada aan la ilaalin iyo kaydka koodka la wadaago, taas oo ay sabab u tahay weeraryahannadu waxay wax u dhimi karaan faylasha lagama maarmaanka u ah xaqiijinta oo ay soo bandhigaan isbeddello xaasidnimo ah. iyada oo aan shaki gelin.
Isticmaalka saxeexyada dhijitaalka ah ee xaqiijinta siidaynta ayaan wali noqon mid baahsan sababtoo ah dhibaatooyinka maaraynta furayaasha, qaybinta furayaasha dadweynaha, iyo la noqoshada furayaasha la jabiyay. Si xaqiijintu macno u yeelato, waxa kale oo lagama maarmaan ah in la abaabulo hab la isku halayn karo oo sugan oo lagu qaybinayo furayaasha dadweynaha iyo jeegaga. Xataa saxiixa dhijitaalka ah, isticmaaleyaal badan ayaa iska indhatiray xaqiijinta sababtoo ah waxay u baahan yihiin inay waqti ku bixiyaan barashada habka xaqiijinta iyo fahamka furaha la aamini karo. Mashruuca Sigstore wuxuu isku dayaa inuu fududeeyo oo uu otomaatig ka dhigo hababkan isagoo siinaya xal diyaar ah oo la xaqiijiyay.
Source: opennet.ru