సిగ్‌స్టోర్ క్రిప్టోగ్రాఫిక్ వెరిఫికేషన్ సిస్టమ్ ప్రకటించబడింది

ప్రొడక్షన్ డిప్లాయ్‌మెంట్‌లకు సిద్ధంగా ఉన్నట్లు ప్రకటించబడిన సిగ్‌స్టోర్ ప్రాజెక్ట్‌లోని భాగాల మొదటి స్థిరమైన విడుదలలను గూగుల్ ప్రకటించింది. సిగ్‌స్టోర్, డిజిటల్ సంతకాలను ఉపయోగించి సాఫ్ట్‌వేర్ ధృవీకరణ కోసం మరియు మార్పుల ప్రామాణికతను నిర్ధారించే పబ్లిక్ లాగ్‌ను (ట్రాన్స్‌పరెన్సీ లాగ్) నిర్వహించడం కోసం టూల్స్ మరియు సేవలను అభివృద్ధి చేస్తుంది. ఈ ప్రాజెక్ట్ ఒక లాభాపేక్షలేని సంస్థ ఆధ్వర్యంలో అభివృద్ధి చేయబడుతోంది. Linux గూగుల్, రెడ్ హాట్, సిస్కో, విఎమ్‌వేర్, గిట్‌హబ్ మరియు హెచ్‌పి ఎంటర్‌ప్రైజ్ వారిచే స్థాపించబడిన ఈ ఫౌండేషన్‌లో ఓపెన్ సోర్స్ సెక్యూరిటీ ఫౌండేషన్ (OpenSSF) మరియు పర్డ్యూ విశ్వవిద్యాలయం కూడా పాలుపంచుకున్నాయి.

సిగ్‌స్టోర్‌ను కోడ్ కోసం లెట్స్ ఎన్‌క్రిప్ట్ చేద్దాం అని భావించవచ్చు, డిజిటల్‌గా సైన్ కోడ్ చేయడానికి సర్టిఫికేట్‌లను మరియు ధృవీకరణను ఆటోమేట్ చేయడానికి సాధనాలను అందిస్తుంది. సిగ్‌స్టోర్‌తో, డెవలపర్‌లు విడుదల ఫైల్‌లు, కంటైనర్ ఇమేజ్‌లు, మానిఫెస్ట్‌లు మరియు ఎక్జిక్యూటబుల్స్ వంటి అప్లికేషన్-సంబంధిత కళాఖండాలపై డిజిటల్‌గా సంతకం చేయవచ్చు. సంతకం మెటీరియల్ ధృవీకరణ మరియు ఆడిటింగ్ కోసం ఉపయోగించబడే ట్యాంపర్ ప్రూఫ్ పబ్లిక్ లాగ్‌లో ప్రతిబింబిస్తుంది.

శాశ్వత కీలకు బదులుగా, సిగ్‌స్టోర్ స్వల్పకాలిక అశాశ్వత కీలను ఉపయోగిస్తుంది, ఇవి OpenID Connect ప్రొవైడర్‌లచే ధృవీకరించబడిన ఆధారాల ఆధారంగా రూపొందించబడతాయి (డిజిటల్ సంతకాన్ని సృష్టించడానికి అవసరమైన కీలను రూపొందించే సమయంలో, డెవలపర్ ఒక వ్యక్తికి లింక్ చేయబడిన OpenID ప్రొవైడర్ ద్వారా తనను తాను గుర్తించుకుంటాడు. ఇమెయిల్). కీల యొక్క ప్రామాణికత పబ్లిక్ సెంట్రలైజ్డ్ లాగ్‌ని ఉపయోగించి ధృవీకరించబడుతుంది, ఇది సంతకం యొక్క రచయిత ఖచ్చితంగా అతను క్లెయిమ్ చేసిన వ్యక్తి అని ధృవీకరించడం సాధ్యపడుతుంది మరియు గత విడుదలలకు బాధ్యత వహించిన అదే పాల్గొనే వ్యక్తి ద్వారా సంతకం రూపొందించబడింది.

రెకోర్ 1.0 మరియు ఫుల్సియో 1.0 అనే రెండు కీలక భాగాల విడుదలలు ఏర్పడటం వల్ల సిగ్‌స్టోర్ అమలుకు సిద్ధంగా ఉంది, వీటిలో సాఫ్ట్‌వేర్ ఇంటర్‌ఫేస్‌లు స్థిరంగా ప్రకటించబడ్డాయి మరియు వెనుకకు అనుకూలమైనవిగా కొనసాగుతాయి. సేవా భాగాలు గోలో వ్రాయబడి Apache 2.0 లైసెన్స్ క్రింద పంపిణీ చేయబడతాయి.

Rekor భాగం ప్రాజెక్ట్‌ల గురించి సమాచారాన్ని ప్రతిబింబించే డిజిటల్ సంతకం చేసిన మెటాడేటాను నిల్వ చేయడానికి లాగ్ అమలును కలిగి ఉంది. సమగ్రతను నిర్ధారించడానికి మరియు వాస్తవం తర్వాత డేటా అవినీతికి వ్యతిరేకంగా రక్షించడానికి, మెర్కిల్ ట్రీ ట్రీ స్ట్రక్చర్ ఉపయోగించబడుతుంది, దీనిలో ప్రతి శాఖ ఉమ్మడి (ట్రీ) హ్యాషింగ్ ద్వారా అన్ని అంతర్లీన శాఖలు మరియు నోడ్‌లను ధృవీకరిస్తుంది. చివరి హాష్ కలిగి, వినియోగదారు మొత్తం కార్యకలాపాల చరిత్ర యొక్క ఖచ్చితత్వాన్ని, అలాగే డేటాబేస్ యొక్క గత స్థితి యొక్క ఖచ్చితత్వాన్ని ధృవీకరించవచ్చు (డేటాబేస్ యొక్క కొత్త స్థితి యొక్క రూట్ ధృవీకరణ హాష్ గత స్థితిని పరిగణనలోకి తీసుకొని లెక్కించబడుతుంది ) ధృవీకరణ మరియు కొత్త రికార్డులను జోడించడం కోసం RESTful API అందించబడింది, అలాగే కమాండ్ లైన్ ఇంటర్‌ఫేస్.

Fulcio భాగం (SigStore WebPKI) OpenID Connect ద్వారా ప్రమాణీకరించబడిన ఇమెయిల్ ఆధారంగా స్వల్పకాలిక ప్రమాణపత్రాలను జారీ చేసే ధృవీకరణ అధికారాలను (రూట్ CAలు) సృష్టించే వ్యవస్థను కలిగి ఉంటుంది. సర్టిఫికేట్ జీవితకాలం 20 నిమిషాలు, ఈ సమయంలో డెవలపర్ తప్పనిసరిగా డిజిటల్ సంతకాన్ని రూపొందించడానికి సమయాన్ని కలిగి ఉండాలి (సర్టిఫికేట్ దాడి చేసే వ్యక్తి చేతిలోకి వస్తే, అది ఇప్పటికే గడువు ముగిసిపోతుంది). అదనంగా, ప్రాజెక్ట్ Cosign (కంటైనర్ సంతకం) టూల్‌కిట్‌ను అభివృద్ధి చేస్తోంది, ఇది కంటైనర్‌ల కోసం సంతకాలను రూపొందించడానికి, సంతకాలను ధృవీకరించడానికి మరియు OCI (ఓపెన్ కంటైనర్ ఇనిషియేటివ్)కి అనుకూలమైన రిపోజిటరీలలో సంతకం చేసిన కంటైనర్‌లను ఉంచడానికి రూపొందించబడింది.

సిగ్‌స్టోర్ యొక్క అమలు ప్రోగ్రామ్ డిస్ట్రిబ్యూషన్ ఛానెల్‌ల భద్రతను పెంచడం మరియు లైబ్రరీలు మరియు డిపెండెన్సీలను (సరఫరా గొలుసు) ప్రత్యామ్నాయం చేసే లక్ష్యంతో దాడుల నుండి రక్షించడం సాధ్యం చేస్తుంది. ఓపెన్ సోర్స్ సాఫ్ట్‌వేర్‌లోని ప్రధాన భద్రతా సమస్యలలో ఒకటి ప్రోగ్రామ్ యొక్క మూలాన్ని ధృవీకరించడంలో మరియు బిల్డ్ ప్రాసెస్‌ను ధృవీకరించడంలో ఇబ్బంది. ఉదాహరణకు, చాలా ప్రాజెక్ట్‌లు విడుదల యొక్క సమగ్రతను ధృవీకరించడానికి హాష్‌లను ఉపయోగిస్తాయి, అయితే తరచుగా ప్రమాణీకరణకు అవసరమైన సమాచారం అసురక్షిత సిస్టమ్‌లలో మరియు షేర్డ్ కోడ్ రిపోజిటరీలలో నిల్వ చేయబడుతుంది, దీని ఫలితంగా దాడి చేసేవారు ధృవీకరణకు అవసరమైన ఫైల్‌లను రాజీ చేయవచ్చు మరియు హానికరమైన మార్పులను ప్రవేశపెట్టవచ్చు. అనుమానం రాకుండా.

కీలను నిర్వహించడం, పబ్లిక్ కీలను పంపిణీ చేయడం మరియు రాజీపడిన కీలను ఉపసంహరించుకోవడంలో ఉన్న ఇబ్బందుల కారణంగా విడుదల ధృవీకరణ కోసం డిజిటల్ సంతకాలను ఉపయోగించడం ఇంకా విస్తృతంగా మారలేదు. ధృవీకరణ అర్ధవంతం కావడానికి, పబ్లిక్ కీలు మరియు చెక్‌సమ్‌లను పంపిణీ చేయడానికి నమ్మకమైన మరియు సురక్షితమైన ప్రక్రియను నిర్వహించడం అదనంగా అవసరం. డిజిటల్ సంతకంతో కూడా, చాలా మంది వినియోగదారులు ధృవీకరణను విస్మరిస్తారు ఎందుకంటే వారు ధృవీకరణ ప్రక్రియను తెలుసుకోవడానికి మరియు ఏ కీ నమ్మదగినదో అర్థం చేసుకోవడానికి సమయాన్ని వెచ్చించాలి. సిగ్‌స్టోర్ ప్రాజెక్ట్ ఒక రెడీమేడ్ మరియు నిరూపితమైన పరిష్కారాన్ని అందించడం ద్వారా ఈ ప్రక్రియలను సులభతరం చేయడానికి మరియు ఆటోమేట్ చేయడానికి ప్రయత్నిస్తుంది.

మూలం: opennet.ru