Google Sigstore loyihasini tashkil etuvchi komponentlarning birinchi barqaror relizlari yaratilishini e'lon qildi, u ishchi ilovalarni yaratish uchun yaroqli deb topildi. Sigstore raqamli imzolar yordamida dasturiy ta'minotni tekshirish va o'zgarishlarning haqiqiyligini tasdiqlovchi ommaviy jurnalni yuritish uchun vositalar va xizmatlarni ishlab chiqadi (shaffoflik jurnali). Loyiha Linux Foundation nodavlat notijorat tashkiloti homiyligida Google, Red Hat, Cisco, vmWare, GitHub va HP Enterprise kompaniyalari tomonidan OpenSSF (Open Source Security Foundation) va Purdue universiteti ishtirokida ishlab chiqilmoqda.
Sigstore-ni kodni raqamli imzolash uchun sertifikatlar va tekshirishni avtomatlashtirish vositalari bilan ta'minlovchi Let's Encrypt kod deb hisoblash mumkin. Sigstore yordamida ishlab chiquvchilar reliz fayllari, konteyner tasvirlari, manifestlar va bajariladigan fayllar kabi ilovalarga tegishli artefaktlarga raqamli imzo qo'yishlari mumkin. Imzolash uchun foydalanilgan material tekshirish va tekshirish uchun ishlatilishi mumkin bo'lgan buzg'unchilikka qarshi ochiq jurnalda aks ettirilgan.
Doimiy kalitlar o'rniga, Sigstore OpenID Connect provayderlari tomonidan tasdiqlangan hisob ma'lumotlari asosida yaratilgan qisqa muddatli vaqtinchalik kalitlardan foydalanadi (raqamli imzo yaratish uchun zarur bo'lgan kalitlarni yaratish vaqtida dasturchi elektron pochta orqali bog'langan OpenID provayderi orqali o'zini identifikatsiya qiladi. ). Kalitlarning haqiqiyligi ommaviy markazlashtirilgan jurnal tomonidan tekshiriladi, bu sizga imzo muallifi aynan kim ekanligiga ishonch hosil qilish imkonini beradi va imzo o'tgan nashrlar uchun mas'ul bo'lgan ishtirokchi tomonidan tuzilgan.
Sigstore-ning amalga oshirishga tayyorligi ikkita asosiy komponent - Rekor 1.0 va Fulcio 1.0 relizlarining shakllanishi bilan bog'liq bo'lib, ularning dasturiy interfeyslari barqaror deb e'lon qilinadi va bundan buyon ham orqaga qarab muvofiqlikni saqlab qoladi. Xizmat komponentlari Go'da yozilgan va Apache 2.0 litsenziyasi ostida tarqatiladi.
Rekor komponenti loyihalar haqidagi ma'lumotlarni aks ettiruvchi raqamli imzolangan metama'lumotlarni saqlash uchun jurnalni o'z ichiga oladi. Ma'lumotlarning yaxlitligi va buzilishidan himoyalanish uchun Merkle Tree daraxti strukturasi qo'llaniladi, unda har bir filial qo'shma (daraxt) xeshing tufayli barcha asosiy shoxlar va tugunlarni tekshiradi. Yakuniy xeshga ega bo'lgan holda, foydalanuvchi butun operatsiyalar tarixining to'g'riligini, shuningdek ma'lumotlar bazasining o'tmishdagi holatining to'g'riligini tekshirishi mumkin (ma'lumotlar bazasining yangi holatining ildizni tekshirish xeshi o'tgan holatni hisobga olgan holda hisoblanadi. ). Yangi yozuvlarni tekshirish va qo'shish uchun RESTful API, shuningdek, buyruq qatori interfeysi taqdim etiladi.
Fulcio komponenti (SigStore WebPKI) OpenID Connect orqali autentifikatsiya qilingan elektron pochta xabarlari asosida qisqa muddatli sertifikatlar chiqaradigan sertifikat organlarini (root CA) yaratish tizimini o'z ichiga oladi. Sertifikatning amal qilish muddati 20 daqiqani tashkil qiladi, bu vaqt ichida ishlab chiquvchi elektron raqamli imzoni yaratish uchun vaqtga ega bo'lishi kerak (agar kelajakda sertifikat tajovuzkor qo'liga tushib qolsa, uning muddati allaqachon tugagan bo'ladi). Bundan tashqari, loyiha konteynerlar uchun imzolarni yaratish, imzolarni tekshirish va imzolangan konteynerlarni OCI (Ochiq konteyner tashabbusi) bilan mos keladigan omborlarga joylashtirish uchun mo‘ljallangan Cosign (Container Signing) asboblar to‘plamini ishlab chiqadi.
Sigstore-ning joriy etilishi dasturiy ta'minotni tarqatish kanallari xavfsizligini oshirish va kutubxonalar va bog'liqliklarni (ta'minot zanjiri) almashtirishga qaratilgan hujumlardan himoya qilish imkonini beradi. Ochiq kodli dasturiy ta'minotdagi asosiy xavfsizlik muammolaridan biri bu dastur manbasini tekshirish va qurish jarayonini tekshirish qiyinligi. Masalan, ko'pgina loyihalar nashrning yaxlitligini tekshirish uchun xeshlardan foydalanadi, lekin ko'pincha autentifikatsiya uchun zarur bo'lgan ma'lumotlar himoyalanmagan tizimlarda va kodli umumiy omborlarda saqlanadi, buning natijasida, agar buzilgan bo'lsa, tajovuzkorlar kerakli fayllarni almashtirishlari mumkin. tekshirish va shubha tug'dirmasdan, zararli o'zgarishlarni kiritish.
Kalitlarni boshqarish, ochiq kalitlarni tarqatish va buzilgan kalitlarni bekor qilishdagi qiyinchiliklar tufayli chiqarishni tekshirish uchun raqamli imzolardan foydalanish hali keng tarqalmagan. Tekshirish mantiqiy bo'lishi uchun qo'shimcha ravishda ochiq kalitlar va nazorat summalarini tarqatish uchun ishonchli va xavfsiz jarayonni tashkil qilish talab etiladi. Raqamli imzo bilan ham, ko'p foydalanuvchilar tekshirishni e'tiborsiz qoldiradilar, chunki tekshirish jarayonini o'rganish va qaysi kalit ishonchli ekanligini tushunish uchun vaqt kerak bo'ladi. Sigstore loyihasi tayyor va tasdiqlangan yechimni taqdim etish orqali ushbu jarayonlarni soddalashtirish va avtomatlashtirishga harakat qiladi.
Manba: opennet.ru