Koofiyada Cas iyo Google, oo ay weheliyaan Jaamacadda Purdue, ayaa aasaasay mashruuca Sigstore, oo loogu talagalay in lagu abuuro qalab iyo adeegyo lagu xaqiijiyo software iyada oo la adeegsanayo saxeexyada dhijitaalka ah iyo ilaalinta diiwaanka dadweynaha si loo xaqiijiyo xaqiiqada (log hufnaanta). Mashruuca waxaa lagu horumarin doonaa hoosta ururka aan macaash doonka ahayn ee Linux Foundation.
Mashruuca la soo jeediyay wuxuu wanaajin doonaa amniga kanaalada qaybinta software wuxuuna ka ilaalin doonaa weerarrada lagu doonayo in lagu beddelo qaybaha softiweerka iyo ku tiirsanaanta (silsiladda sahayda). Mid ka mid ah dhibaatooyinka ugu muhiimsan ee amniga software-ka isha furan waa dhibaatada xaqiijinta isha barnaamijka iyo xaqiijinta habka dhismaha. Tusaale ahaan, mashaariicda intooda badani waxay isticmaalaan hashes si ay u xaqiijiyaan daacadnimada sii deynta, laakiin inta badan macluumaadka lagama maarmaanka u ah xaqiijinta waxaa lagu kaydiyaa nidaamyada aan la ilaalin iyo kaydka koodka la wadaago, taas oo ay sabab u tahay weeraryahannadu waxay wax u dhimi karaan faylasha lagama maarmaanka u ah xaqiijinta oo ay soo bandhigaan isbeddello xaasidnimo ah. iyada oo aan shaki gelin.
Kaliya qayb yar oo mashruucyo ah ayaa adeegsada saxeexyada dhijitaalka ah marka la qaybinayo sii daynta ay ugu wacan tahay dhibaatooyinka maaraynta furayaasha, qaybinta furayaasha dadweynaha, iyo la noqoshada furayaasha la jabiyay. Si xaqiijintu macno u yeelato, waxa kale oo lagama maarmaan ah in la habeeyo hab la isku halayn karo oo sugan oo lagu qaybinayo furayaasha dadweynaha iyo jeegaga. Xitaa saxeexa dhijitaalka ah, isticmaaleyaal badan ayaa iska indhatiray xaqiijinta sababtoo ah waxay u baahan yihiin inay waqti ku qaataan barashada habka xaqiijinta iyo fahamka furaha la aamini karo.
Sigstore waxa loo tixgaliyaa in uu u dhigmayo Aynu Encrypt for code, siinta shahaadooyinka saxeexa dhijitaalka ah iyo agabka xaqiijinta otomaatiga ah. Sigstore, horumariyayaashu waxay si dhijitaal ah u saxeexi karaan agabka la xidhiidha arjiga sida faylalka sii daynta, sawirada weelka, muujinta, iyo kuwa la fulin karo. Sifada gaarka ah ee Sigstore ayaa ah in shayga loo isticmaalo saxeexa uu ka dhex muuqdo log-ga dadweynaha oo aan faragelin lahayn oo loo isticmaali karo hubinta iyo hubinta.
Halkii laga isticmaali lahaa furayaasha joogtada ah, Sigstore waxa uu isticmaalaa furayaasha ephemeral-gaaban, kuwaas oo la soo saaray iyada oo lagu salaynayo aqoonsiga ay xaqiijiyeen bixiyeyaasha OpenID Connect (waqtiga abuurista furayaasha saxeexa dhijitaalka ah, horumariyuhu waxa uu isku aqoonsanayaa bixiyaha OpenID ee ku xidhan iimaylka). Runnimada furayaasha waxaa lagu xaqiijiyaa iyada oo la isticmaalayo log dhexe oo guud, taas oo sahlaysa in la xaqiijiyo in qoraaga saxeexu yahay cidda uu isagu sheeganayo iyo saxeexa uu sameeyay isla ka qaybgalayaashii masuulka ka ahaa sii deyntii hore.
Sigstore wuxuu bixiyaa adeeg diyaarsan oo aad horay u isticmaali karto, iyo qalabyo kuu oggolaanaya inaad adeegsato qalabyadaada oo kale. Adeeggu waa u bilaash dhammaan soosaarayaasha iyo bixiyayaasha software-ka, waxaana la geeyaa madal dhexdhexaad ah - Linux Foundation. Dhammaan qaybaha adeeggu waa il furan, oo ku qoran Go oo lagu qaybiyey shatiga Apache 2.0.
Qaybaha la horumariyay waxaynu ka xusi karnaa:
- Rekor waa hirgalinta log ee lagu kaydinayo xog badan oo si dhijitaal ah loo saxeexay oo ka tarjumaysa macluumaadka mashaariicda. Si loo hubiyo daacadnimada iyo ilaalinta xogta musuqmaasuqa ka dib xaqiiqda, qaab-dhismeedka geedka u eg "Merkle Tree" ayaa loo isticmaalaa, kaas oo laan kastaa ay hubiso dhammaan laamaha iyo qanjidhada hoose, iyada oo ay ugu wacan tahay isku-dhafka (geed-u- eg) xashiishka. Haysashada xashiishka kama dambaysta ah, adeegsaduhu wuxuu xaqiijin karaa saxnimada taariikhda hawlgallada oo dhan, iyo sidoo kale saxnaanta gobolladii hore ee kaydka (xashka xaqiijinta asalka ah ee gobolka cusub ee xogta waxaa la xisaabiyaa iyadoo la tixgelinayo xaaladdii hore). ). Si loo xaqiijiyo looguna daro diiwaano cusub, API Restful ayaa la bixiyaa, iyo sidoo kale interface interface.
- Fulcio (SigStore WebPKI) waa nidaam lagu abuurayo maamulka shahaado bixinta (Root-CAs) kuwaas oo bixiya shahaadooyin cimri gaaban oo ku salaysan iimaylka lagu xaqiijiyay isku xidhka OpenID. Cimriga shahaadadu waa 20 daqiiqo, inta lagu guda jiro horumariyuhu waa inuu haystaa wakhti uu ku soo saaro saxeex dhijitaal ah (haddii shahaadodu ay hadhoow ku dhacdo gacanta weeraryahan, mar hore way dhici doontaa).
- Π‘osign (Saxiixa Kontaynarrada) waa qalab loogu talagalay abuurista saxeexyada weelasha, xaqiijinta saxeexyada iyo dhigista weelasha saxeexan ee kaydinta la jaan qaadaya OCI (Initiative Container Furan).
Source: opennet.ru