Sigstore'i võib pidada koodi krüptimiseks, mis pakub sertifikaate koodi digitaalseks allkirjastamiseks ja tööriistu kontrollimise automatiseerimiseks.
Google avalikustas blogipostituse kaudu, väljakuulutamine aasta esimeste stabiilsete versioonide teket komponendid, millest projekt koosneb pood, mis on tunnistatud sobivaks töökohtade loomiseks.
Need, kes pole Sigstore'ist teadlikud, peaksid teadma, et see on projekt, mis mille eesmärk on arendada ja pakkuda tarkvara verifitseerimise tööriistu ja teenuseid digitaalallkirjade kasutamine ja muudatuste õigsust kinnitava avaliku registri pidamine (läbipaistvusregister).
Sigstore'iga arendajad saavad digitaalselt allkirjastada rakendustega seotud artefaktid, nagu väljalaskefailid, konteineri kujutised, manifestid ja käivitatavad failid. Materjal, mida kasutatakse allkiri kajastub võltsimiskindlas avalikus registris mida saab kasutada kontrollimiseks ja auditeerimiseks.
Püsivõtmete asemel, Sigstore kasutab lühiajalisi lühiajalisi võtmeid mis genereeritakse OpenID Connecti pakkujate kinnitatud mandaatide põhjal (digitaalallkirja loomiseks vajalike võtmete genereerimise ajal tuvastatakse arendaja OpenID pakkuja kaudu meililingiga).
Võtmete autentsust kontrollib tsentraliseeritud avalik register, mis võimaldab teil veenduda, et allkirja autor on täpselt see, kes ta end olevat, ja et allkirja andis sama osaleja, kes vastutas varasemate versioonide eest.
Sigstore'i ettevalmistamine rakendamiseks on tingitud kahe põhikomponendi versioonid: Rekor 1.0 ja Fulcio 1.0, mille programmeerimisliidesed on kuulutatud stabiilseks ja säilitavad edaspidi ühilduvuse eelmiste versioonidega. Teenuse komponendid on kirjutatud Go-s ja väljastatakse Apache 2.0 litsentsi alusel.
Komponent Rekor sisaldab registrirakendust digitaalselt allkirjastatud metaandmete salvestamiseks mis kajastavad teavet projektide kohta. Terviklikkuse ja andmete korruptsioonivastase kaitse tagamiseks kasutatakse Merkle Tree struktuuri, milles iga haru kontrollib ühise räsi (puu) kaudu kõiki aluseks olevaid harusid ja sõlme. Lõpliku räsi omades saab kasutaja kontrollida kogu toimingute ajaloo õigsust, samuti andmebaasi varasemate olekute õigsust (andmebaasi uue oleku juurkontrolli räsi arvutatakse mineviku olekuga). Pakutakse RESTful API-t uute kirjete kontrollimiseks ja lisamiseks, samuti käsurea liides.
Komponent fulcius (SigStore WebPKI) sisaldab süsteemi sertifitseerimisasutuste loomiseks (juur-CA), mis väljastavad lühiajalisi sertifikaate, mis põhinevad OpenID Connecti kaudu autentitud meilidel. Sertifikaadi eluiga on 20 minutit, mille jooksul peab arendajal olema aega digiallkirja genereerimiseks (kui sertifikaat tulevikus ründaja kätte satub, on see juba aegunud). Samuti projekt arendab Cosigni tööriistakomplekti (Container Signing), mis on loodud konteinerite jaoks allkirjade genereerimiseks, allkirjade kontrollimiseks ja allkirjastatud konteinerite paigutamiseks OCI (Open Container Initiative) ühilduvatesse hoidlatesse.
Sissejuhatus Sigstore võimaldab tõsta tarkvara levikanalite turvalisust ja kaitsta raamatukogude ja sõltuvuste asendamise (tarneahela) rünnakute eest. Avatud lähtekoodiga tarkvara üks peamisi turbeprobleeme on programmi allika kontrollimise ja koostamisprotsessi kontrollimise raskus.
Digiallkirjade kasutamine versiooni kontrollimiseks ei ole veel laialt levinud võtmehalduse, avaliku võtme levitamise ja ohustatud võtmete tühistamise raskuste tõttu. Et kontrollimine oleks mõttekas, on vaja korraldada ka usaldusväärne ja turvaline avalike võtmete ja kontrollsummade levitamise protsess. Isegi digitaalallkirja puhul ignoreerivad paljud kasutajad kinnitamist, kuna kinnitusprotsessi õppimine ja usaldusväärse võtme mõistmine võtab aega.
Projekti arendatakse mittetulundusühingu Google'i, Red Hati, Cisco, vmWare'i, GitHubi ja HP Enterprise'i Linuxi sihtasutuse egiidi all OpenSSF-i (Open Source Security Foundation) ja Purdue ülikooli osalusel.
Lõpuks, kui olete huvitatud sellest, et saaksite sellest rohkem teada saada, saate üksikasju vaadata järgmine link.