புரோஹோஸ்டர் > Блог > இணைய செய்தி > சிக்ஸ்டோர் கிரிப்டோகிராஃபிக் குறியீடு சரிபார்ப்பு முறையின் தயார்நிலை அறிவிக்கப்பட்டுள்ளது

சிக்ஸ்டோர் கிரிப்டோகிராஃபிக் குறியீடு சரிபார்ப்பு முறையின் தயார்நிலை அறிவிக்கப்பட்டுள்ளது

சிக்ஸ்டோர் திட்டத்தை உருவாக்கும் கூறுகளின் முதல் நிலையான வெளியீடுகளை உருவாக்குவதாக கூகிள் அறிவித்தது, இது வேலை செயலாக்கங்களை உருவாக்குவதற்கு ஏற்றதாக அறிவிக்கப்பட்டது. சிக்ஸ்டோர் டிஜிட்டல் கையொப்பங்களைப் பயன்படுத்தி மென்பொருள் சரிபார்ப்புக்கான கருவிகள் மற்றும் சேவைகளை உருவாக்குகிறது மற்றும் மாற்றங்களின் நம்பகத்தன்மையை (வெளிப்படைத்தன்மை பதிவு) உறுதிப்படுத்தும் பொது பதிவை பராமரிக்கிறது. Google, Red Hat, Cisco, vmWare, GitHub மற்றும் HP Enterprise ஆகியவற்றின் இலாப நோக்கற்ற அமைப்பான Linux அறக்கட்டளையின் அனுசரணையில், OpenSSF (ஓப்பன் சோர்ஸ் செக்யூரிட்டி ஃபவுண்டேஷன்) அமைப்பு மற்றும் பர்டூ பல்கலைக்கழகத்தின் பங்கேற்புடன் இந்தத் திட்டம் உருவாக்கப்படுகிறது.

Sigstore என்பது குறியீட்டிற்காக குறியாக்கம் செய்வோம், டிஜிட்டல் முறையில் கையொப்பமிடுவதற்கான சான்றிதழ்கள் மற்றும் சரிபார்ப்பை தானியங்குபடுத்துவதற்கான கருவிகளை வழங்குகிறது. சிக்ஸ்டோர் மூலம், டெவலப்பர்கள் வெளியீட்டு கோப்புகள், கொள்கலன் படங்கள், மேனிஃபெஸ்ட்கள் மற்றும் இயங்கக்கூடியவை போன்ற பயன்பாடு தொடர்பான கலைப்பொருட்களை டிஜிட்டல் முறையில் கையொப்பமிடலாம். சரிபார்ப்பு மற்றும் தணிக்கைக்கு பயன்படுத்தக்கூடிய சேதமடையாத பொது பதிவில் கையெழுத்துப் பொருள் பிரதிபலிக்கிறது.

நிரந்தர விசைகளுக்குப் பதிலாக, சிக்ஸ்டோர் குறுகிய கால எபிமரல் விசைகளைப் பயன்படுத்துகிறது, அவை OpenID Connect வழங்குநர்களால் உறுதிப்படுத்தப்பட்ட நற்சான்றிதழ்களின் அடிப்படையில் உருவாக்கப்படுகின்றன (டிஜிட்டல் கையொப்பத்தை உருவாக்கத் தேவையான விசைகளை உருவாக்கும் போது, ​​டெவலப்பர் தன்னை OpenID வழங்குநர் மூலம் அடையாளம் கண்டுகொள்கிறார். மின்னஞ்சல்). விசைகளின் நம்பகத்தன்மை பொது மையப்படுத்தப்பட்ட பதிவைப் பயன்படுத்தி சரிபார்க்கப்படுகிறது, இது கையொப்பத்தின் ஆசிரியர் அவர் தான் என்று சரியாகக் கூறுவதைச் சரிபார்க்க உதவுகிறது, மேலும் கடந்த வெளியீடுகளுக்குப் பொறுப்பான அதே பங்கேற்பாளரால் கையொப்பம் உருவாக்கப்பட்டது.

Sigstore செயல்படுத்துவதற்கான தயார்நிலை இரண்டு முக்கிய கூறுகளின் வெளியீடுகளின் உருவாக்கம் காரணமாகும் - Rekor 1.0 மற்றும் Fulcio 1.0, மென்பொருள் இடைமுகங்கள் நிலையானதாக அறிவிக்கப்பட்டு தொடர்ந்து பின்தங்கிய இணக்கத்துடன் இருக்கும். சேவை கூறுகள் Go இல் எழுதப்பட்டு Apache 2.0 உரிமத்தின் கீழ் விநியோகிக்கப்படுகின்றன.

Rekor பாகத்தில் டிஜிட்டல் கையொப்பமிடப்பட்ட மெட்டாடேட்டாவைச் சேமிப்பதற்கான பதிவுச் செயலாக்கம் உள்ளது, இது திட்டங்களைப் பற்றிய தகவலைப் பிரதிபலிக்கிறது. உண்மைக்குப் பிறகு ஒருமைப்பாடு மற்றும் தரவு ஊழலில் இருந்து பாதுகாக்க, ஒரு Merkle Tree மர அமைப்பு பயன்படுத்தப்படுகிறது, இதில் ஒவ்வொரு கிளையும் கூட்டு (மரம்) ஹேஷிங் மூலம் அனைத்து அடிப்படை கிளைகளையும் முனைகளையும் சரிபார்க்கிறது. இறுதி ஹாஷைக் கொண்டு, பயனர் செயல்பாடுகளின் முழு வரலாற்றின் சரியான தன்மையையும், தரவுத்தளத்தின் கடந்த நிலைகளின் சரியான தன்மையையும் சரிபார்க்க முடியும் (தரவுத்தளத்தின் புதிய நிலையின் ரூட் சரிபார்ப்பு ஹாஷ் கடந்த நிலையைக் கணக்கில் கொண்டு கணக்கிடப்படுகிறது. ) சரிபார்ப்பதற்கும் புதிய பதிவுகளைச் சேர்ப்பதற்கும் ஒரு RESTful API வழங்கப்படுகிறது, அத்துடன் கட்டளை வரி இடைமுகமும்.

Fulcio கூறு (SigStore WebPKI) ஆனது OpenID கனெக்ட் மூலம் அங்கீகரிக்கப்பட்ட மின்னஞ்சலின் அடிப்படையில் குறுகிய கால சான்றிதழ்களை வழங்கும் சான்றிதழ் அதிகாரிகளை (ரூட் சிஏக்கள்) உருவாக்குவதற்கான அமைப்பை உள்ளடக்கியது. சான்றிதழின் ஆயுட்காலம் 20 நிமிடங்கள் ஆகும், இதன் போது டெவெலப்பருக்கு டிஜிட்டல் கையொப்பத்தை உருவாக்க நேரம் இருக்க வேண்டும் (சான்றிதழ் பின்னர் தாக்குபவர்களின் கைகளில் விழுந்தால், அது ஏற்கனவே காலாவதியாகிவிடும்). கூடுதலாக, திட்டம் Cosign (கன்டெய்னர் கையொப்பமிடுதல்) கருவித்தொகுப்பை உருவாக்குகிறது, இது கொள்கலன்களுக்கான கையொப்பங்களை உருவாக்கவும், கையொப்பங்களை சரிபார்க்கவும் மற்றும் OCI (திறந்த கொள்கலன் முன்முயற்சி) உடன் இணக்கமான களஞ்சியங்களில் கையொப்பமிடப்பட்ட கொள்கலன்களை வைக்கவும் வடிவமைக்கப்பட்டுள்ளது.

Sigstore ஐ செயல்படுத்துவது நிரல் விநியோக சேனல்களின் பாதுகாப்பை அதிகரிக்கவும், நூலகங்கள் மற்றும் சார்புகளை (சப்ளை சங்கிலி) மாற்றுவதை நோக்கமாகக் கொண்ட தாக்குதல்களிலிருந்து பாதுகாக்கவும் உதவுகிறது. திறந்த மூல மென்பொருளில் உள்ள முக்கிய பாதுகாப்பு சிக்கல்களில் ஒன்று, நிரலின் மூலத்தை சரிபார்ப்பது மற்றும் உருவாக்க செயல்முறையை சரிபார்ப்பதில் உள்ள சிரமம் ஆகும். எடுத்துக்காட்டாக, பெரும்பாலான திட்டங்கள் வெளியீட்டின் ஒருமைப்பாட்டை சரிபார்க்க ஹாஷ்களைப் பயன்படுத்துகின்றன, ஆனால் பெரும்பாலும் அங்கீகாரத்திற்குத் தேவையான தகவல்கள் பாதுகாப்பற்ற கணினிகளிலும் பகிரப்பட்ட குறியீடு களஞ்சியங்களிலும் சேமிக்கப்படுகின்றன, இதன் விளைவாக தாக்குபவர்கள் சரிபார்ப்புக்குத் தேவையான கோப்புகளை சமரசம் செய்து தீங்கிழைக்கும் மாற்றங்களைச் செய்யலாம். சந்தேகம் வராமல்.

விசைகளை நிர்வகித்தல், பொது விசைகளை விநியோகம் செய்தல் மற்றும் சமரசம் செய்யப்பட்ட விசைகளை திரும்பப் பெறுதல் ஆகியவற்றில் உள்ள சிரமங்களால் வெளியீட்டு சரிபார்ப்புக்கான டிஜிட்டல் கையொப்பங்களின் பயன்பாடு இன்னும் பரவலாகவில்லை. சரிபார்ப்பு அர்த்தமுள்ளதாக இருக்க, பொது விசைகள் மற்றும் செக்சம்களை விநியோகிப்பதற்கான நம்பகமான மற்றும் பாதுகாப்பான செயல்முறையை ஒழுங்கமைப்பது கூடுதலாக அவசியம். டிஜிட்டல் கையொப்பத்துடன் கூட, பல பயனர்கள் சரிபார்ப்பைப் புறக்கணிக்கிறார்கள், ஏனெனில் அவர்கள் சரிபார்ப்பு செயல்முறையைக் கற்றுக்கொள்வதற்கும் எந்த விசை நம்பகமானது என்பதைப் புரிந்துகொள்வதற்கும் நேரத்தை செலவிட வேண்டும். சிக்ஸ்டோர் திட்டமானது, ஆயத்த மற்றும் நிரூபிக்கப்பட்ட தீர்வை வழங்குவதன் மூலம் இந்த செயல்முறைகளை எளிமைப்படுத்தவும் தானியங்குபடுத்தவும் முயற்சிக்கிறது.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்