సిగ్స్టోర్ ప్రాజెక్ట్ను రూపొందించే భాగాల యొక్క మొదటి స్థిరమైన విడుదలల ఏర్పాటును Google ప్రకటించింది, ఇది పని అమలులను రూపొందించడానికి తగినదిగా ప్రకటించబడింది. Sigstore డిజిటల్ సంతకాలను ఉపయోగించి సాఫ్ట్వేర్ ధృవీకరణ కోసం సాధనాలు మరియు సేవలను అభివృద్ధి చేస్తుంది మరియు మార్పుల యొక్క ప్రామాణికతను (పారదర్శకత లాగ్) నిర్ధారిస్తూ పబ్లిక్ లాగ్ను నిర్వహిస్తుంది. Google, Red Hat, Cisco, vmWare, GitHub మరియు HP Enterprise ద్వారా లాభాపేక్ష లేని సంస్థ Linux ఫౌండేషన్ ఆధ్వర్యంలో OpenSSF (ఓపెన్ సోర్స్ సెక్యూరిటీ ఫౌండేషన్) సంస్థ మరియు పర్డ్యూ యూనివర్సిటీ భాగస్వామ్యంతో ప్రాజెక్ట్ అభివృద్ధి చేయబడుతోంది.
సిగ్స్టోర్ను కోడ్ కోసం లెట్స్ ఎన్క్రిప్ట్ చేద్దాం అని భావించవచ్చు, డిజిటల్గా సైన్ కోడ్ చేయడానికి సర్టిఫికేట్లను మరియు ధృవీకరణను ఆటోమేట్ చేయడానికి సాధనాలను అందిస్తుంది. సిగ్స్టోర్తో, డెవలపర్లు విడుదల ఫైల్లు, కంటైనర్ ఇమేజ్లు, మానిఫెస్ట్లు మరియు ఎక్జిక్యూటబుల్స్ వంటి అప్లికేషన్-సంబంధిత కళాఖండాలపై డిజిటల్గా సంతకం చేయవచ్చు. సంతకం మెటీరియల్ ధృవీకరణ మరియు ఆడిటింగ్ కోసం ఉపయోగించబడే ట్యాంపర్ ప్రూఫ్ పబ్లిక్ లాగ్లో ప్రతిబింబిస్తుంది.
శాశ్వత కీలకు బదులుగా, సిగ్స్టోర్ స్వల్పకాలిక అశాశ్వత కీలను ఉపయోగిస్తుంది, ఇవి OpenID Connect ప్రొవైడర్లచే ధృవీకరించబడిన ఆధారాల ఆధారంగా రూపొందించబడతాయి (డిజిటల్ సంతకాన్ని సృష్టించడానికి అవసరమైన కీలను రూపొందించే సమయంలో, డెవలపర్ ఒక వ్యక్తికి లింక్ చేయబడిన OpenID ప్రొవైడర్ ద్వారా తనను తాను గుర్తించుకుంటాడు. ఇమెయిల్). కీల యొక్క ప్రామాణికత పబ్లిక్ సెంట్రలైజ్డ్ లాగ్ని ఉపయోగించి ధృవీకరించబడుతుంది, ఇది సంతకం యొక్క రచయిత ఖచ్చితంగా అతను క్లెయిమ్ చేసిన వ్యక్తి అని ధృవీకరించడం సాధ్యపడుతుంది మరియు గత విడుదలలకు బాధ్యత వహించిన అదే పాల్గొనే వ్యక్తి ద్వారా సంతకం రూపొందించబడింది.
రెకోర్ 1.0 మరియు ఫుల్సియో 1.0 అనే రెండు కీలక భాగాల విడుదలలు ఏర్పడటం వల్ల సిగ్స్టోర్ అమలుకు సిద్ధంగా ఉంది, వీటిలో సాఫ్ట్వేర్ ఇంటర్ఫేస్లు స్థిరంగా ప్రకటించబడ్డాయి మరియు వెనుకకు అనుకూలమైనవిగా కొనసాగుతాయి. సేవా భాగాలు గోలో వ్రాయబడి Apache 2.0 లైసెన్స్ క్రింద పంపిణీ చేయబడతాయి.
Rekor భాగం ప్రాజెక్ట్ల గురించి సమాచారాన్ని ప్రతిబింబించే డిజిటల్ సంతకం చేసిన మెటాడేటాను నిల్వ చేయడానికి లాగ్ అమలును కలిగి ఉంది. సమగ్రతను నిర్ధారించడానికి మరియు వాస్తవం తర్వాత డేటా అవినీతికి వ్యతిరేకంగా రక్షించడానికి, మెర్కిల్ ట్రీ ట్రీ స్ట్రక్చర్ ఉపయోగించబడుతుంది, దీనిలో ప్రతి శాఖ ఉమ్మడి (ట్రీ) హ్యాషింగ్ ద్వారా అన్ని అంతర్లీన శాఖలు మరియు నోడ్లను ధృవీకరిస్తుంది. చివరి హాష్ కలిగి, వినియోగదారు మొత్తం కార్యకలాపాల చరిత్ర యొక్క ఖచ్చితత్వాన్ని, అలాగే డేటాబేస్ యొక్క గత స్థితి యొక్క ఖచ్చితత్వాన్ని ధృవీకరించవచ్చు (డేటాబేస్ యొక్క కొత్త స్థితి యొక్క రూట్ ధృవీకరణ హాష్ గత స్థితిని పరిగణనలోకి తీసుకొని లెక్కించబడుతుంది ) ధృవీకరణ మరియు కొత్త రికార్డులను జోడించడం కోసం RESTful API అందించబడింది, అలాగే కమాండ్ లైన్ ఇంటర్ఫేస్.
Fulcio భాగం (SigStore WebPKI) OpenID Connect ద్వారా ప్రమాణీకరించబడిన ఇమెయిల్ ఆధారంగా స్వల్పకాలిక ప్రమాణపత్రాలను జారీ చేసే ధృవీకరణ అధికారాలను (రూట్ CAలు) సృష్టించే వ్యవస్థను కలిగి ఉంటుంది. సర్టిఫికేట్ జీవితకాలం 20 నిమిషాలు, ఈ సమయంలో డెవలపర్ తప్పనిసరిగా డిజిటల్ సంతకాన్ని రూపొందించడానికి సమయాన్ని కలిగి ఉండాలి (సర్టిఫికేట్ దాడి చేసే వ్యక్తి చేతిలోకి వస్తే, అది ఇప్పటికే గడువు ముగిసిపోతుంది). అదనంగా, ప్రాజెక్ట్ Cosign (కంటైనర్ సంతకం) టూల్కిట్ను అభివృద్ధి చేస్తోంది, ఇది కంటైనర్ల కోసం సంతకాలను రూపొందించడానికి, సంతకాలను ధృవీకరించడానికి మరియు OCI (ఓపెన్ కంటైనర్ ఇనిషియేటివ్)కి అనుకూలమైన రిపోజిటరీలలో సంతకం చేసిన కంటైనర్లను ఉంచడానికి రూపొందించబడింది.
సిగ్స్టోర్ యొక్క అమలు ప్రోగ్రామ్ డిస్ట్రిబ్యూషన్ ఛానెల్ల భద్రతను పెంచడం మరియు లైబ్రరీలు మరియు డిపెండెన్సీలను (సరఫరా గొలుసు) ప్రత్యామ్నాయం చేసే లక్ష్యంతో దాడుల నుండి రక్షించడం సాధ్యం చేస్తుంది. ఓపెన్ సోర్స్ సాఫ్ట్వేర్లోని ప్రధాన భద్రతా సమస్యలలో ఒకటి ప్రోగ్రామ్ యొక్క మూలాన్ని ధృవీకరించడంలో మరియు బిల్డ్ ప్రాసెస్ను ధృవీకరించడంలో ఇబ్బంది. ఉదాహరణకు, చాలా ప్రాజెక్ట్లు విడుదల యొక్క సమగ్రతను ధృవీకరించడానికి హాష్లను ఉపయోగిస్తాయి, అయితే తరచుగా ప్రమాణీకరణకు అవసరమైన సమాచారం అసురక్షిత సిస్టమ్లలో మరియు షేర్డ్ కోడ్ రిపోజిటరీలలో నిల్వ చేయబడుతుంది, దీని ఫలితంగా దాడి చేసేవారు ధృవీకరణకు అవసరమైన ఫైల్లను రాజీ చేయవచ్చు మరియు హానికరమైన మార్పులను ప్రవేశపెట్టవచ్చు. అనుమానం రాకుండా.
కీలను నిర్వహించడం, పబ్లిక్ కీలను పంపిణీ చేయడం మరియు రాజీపడిన కీలను ఉపసంహరించుకోవడంలో ఉన్న ఇబ్బందుల కారణంగా విడుదల ధృవీకరణ కోసం డిజిటల్ సంతకాలను ఉపయోగించడం ఇంకా విస్తృతంగా మారలేదు. ధృవీకరణ అర్ధవంతం కావడానికి, పబ్లిక్ కీలు మరియు చెక్సమ్లను పంపిణీ చేయడానికి నమ్మకమైన మరియు సురక్షితమైన ప్రక్రియను నిర్వహించడం అదనంగా అవసరం. డిజిటల్ సంతకంతో కూడా, చాలా మంది వినియోగదారులు ధృవీకరణను విస్మరిస్తారు ఎందుకంటే వారు ధృవీకరణ ప్రక్రియను తెలుసుకోవడానికి మరియు ఏ కీ నమ్మదగినదో అర్థం చేసుకోవడానికి సమయాన్ని వెచ్చించాలి. సిగ్స్టోర్ ప్రాజెక్ట్ ఒక రెడీమేడ్ మరియు నిరూపితమైన పరిష్కారాన్ని అందించడం ద్వారా ఈ ప్రక్రియలను సులభతరం చేయడానికి మరియు ఆటోమేట్ చేయడానికి ప్రయత్నిస్తుంది.
మూలం: opennet.ru