સિગસ્ટોર, ક્રિપ્ટોગ્રાફિક વેરિફિકેશન સિસ્ટમ પહેલેથી જ સ્થિર છે

ગૂગલે અનાવરણ કર્યું એક બ્લોગ પોસ્ટ દ્વારા, ની જાહેરાત ના પ્રથમ સ્થિર સંસ્કરણોની રચના ઘટકો કે જે પ્રોજેક્ટ બનાવે છે સિગસ્ટોર, જે કાર્યકારી જમાવટ બનાવવા માટે યોગ્ય જાહેર કરવામાં આવે છે.

જેઓ સિગસ્ટોરથી અજાણ છે, તેઓએ જાણવું જોઈએ કે આ એક પ્રોજેક્ટ છે જે સોફ્ટવેરની ચકાસણી માટે સાધનો અને સેવાઓ વિકસાવવા અને પ્રદાન કરવાનો હેતુ ધરાવે છે ડિજિટલ હસ્તાક્ષરોનો ઉપયોગ કરીને અને સાર્વજનિક રજિસ્ટ્રી જાળવવી જે ફેરફારોની અધિકૃતતાની પુષ્ટિ કરે છે (પારદર્શિતા રજિસ્ટ્રી).

સિગસ્ટોર સાથે, વિકાસકર્તાઓ ડિજિટલી સહી કરી શકે છે એપ્લિકેશન-સંબંધિત કલાકૃતિઓ જેમ કે રિલીઝ ફાઇલો, કન્ટેનર છબીઓ, મેનિફેસ્ટ અને એક્ઝિક્યુટેબલ. માટે વપરાયેલ સામગ્રી હસ્તાક્ષર ચેડા-સાબિતી જાહેર રેકોર્ડમાં પ્રતિબિંબિત થાય છે જેનો ઉપયોગ ચકાસણી અને ઓડિટ માટે કરી શકાય છે.

કાયમી ચાવીઓને બદલે, સિગસ્ટોર અલ્પજીવી ક્ષણિક કીનો ઉપયોગ કરે છે જે OpenID Connect પ્રદાતાઓ દ્વારા ચકાસાયેલ ઓળખપત્રોના આધારે જનરેટ કરવામાં આવે છે (ડિજિટલ હસ્તાક્ષર બનાવવા માટે જરૂરી કી જનરેટ કરતી વખતે, ડેવલપરને OpenID પ્રદાતા દ્વારા ઇમેઇલ લિંક સાથે ઓળખવામાં આવે છે).

કીઓની અધિકૃતતા કેન્દ્રિય જાહેર રજિસ્ટ્રી દ્વારા ચકાસવામાં આવે છે, જે તમને ખાતરી કરવા દે છે કે હસ્તાક્ષરના લેખક તેઓ જે કહે છે તે બરાબર છે અને તે જ સહભાગી દ્વારા હસ્તાક્ષર બનાવવામાં આવ્યા હતા જે અગાઉના સંસ્કરણો માટે જવાબદાર હતા.

સિગસ્ટોરની તૈયારી અમલીકરણ માટે કારણે છે બે મુખ્ય ઘટકોનું સંસ્કરણ: Rekor 1.0 અને Fulcio 1.0, જેના પ્રોગ્રામિંગ ઇન્ટરફેસને સ્થિર જાહેર કરવામાં આવે છે અને હવેથી અગાઉના સંસ્કરણો સાથે સુસંગતતા જાળવી રાખે છે. સેવાના ઘટકો Go માં લખેલા છે અને Apache 2.0 લાયસન્સ હેઠળ બહાર પાડવામાં આવે છે.

ઘટક Rekor ડિજિટલી હસ્તાક્ષરિત મેટાડેટા સંગ્રહિત કરવા માટે રજિસ્ટ્રી અમલીકરણ ધરાવે છે જે પ્રોજેક્ટ વિશેની માહિતીને પ્રતિબિંબિત કરે છે. ડેટા ભ્રષ્ટાચાર સામે અખંડિતતા અને રક્ષણ સુનિશ્ચિત કરવા માટે, મર્કલ ટ્રી સ્ટ્રક્ચરનો ઉપયોગ કરવામાં આવે છે જેમાં દરેક શાખા સંયુક્ત હેશ (ટ્રી) દ્વારા તમામ અંતર્ગત શાખાઓ અને ગાંઠોની ચકાસણી કરે છે. અંતિમ હેશ રાખવાથી, વપરાશકર્તા સમગ્ર ઓપરેશન ઇતિહાસની શુદ્ધતા તેમજ ડેટાબેઝની ભૂતકાળની સ્થિતિની ચોકસાઈને ચકાસી શકે છે (ડેટાબેઝની નવી સ્થિતિના રૂટ ચેક હેશની ગણતરી ભૂતકાળની સ્થિતિને ધ્યાનમાં લઈને કરવામાં આવે છે). નવા રેકોર્ડ્સ તપાસવા અને ઉમેરવા માટે એક RESTful API, તેમજ કમાન્ડ લાઇન ઇન્ટરફેસ પ્રદાન કરવામાં આવે છે.

ઘટક ફુલ્સિયસ (SigStore WebPKI) પ્રમાણપત્ર સત્તાવાળાઓ બનાવવા માટેની સિસ્ટમનો સમાવેશ કરે છે (રુટ CA) કે જે OpenID કનેક્ટ દ્વારા પ્રમાણિત ઈમેલના આધારે અલ્પજીવી પ્રમાણપત્રો જારી કરે છે. પ્રમાણપત્રનું જીવનકાળ 20 મિનિટ છે, જે દરમિયાન વિકાસકર્તા પાસે ડિજિટલ હસ્તાક્ષર જનરેટ કરવાનો સમય હોવો આવશ્યક છે (જો પ્રમાણપત્ર ભવિષ્યમાં હુમલાખોરના હાથમાં આવે છે, તો તે પહેલાથી જ સમાપ્ત થઈ જશે). ઉપરાંત, પ્રોજેક્ટ કોસાઇન ટૂલકીટ વિકસાવે છે (કન્ટેનર હસ્તાક્ષર), કન્ટેનર માટે સહીઓ જનરેટ કરવા, સહીઓ ચકાસવા અને OCI (ઓપન કન્ટેનર ઇનિશિયેટિવ) સુસંગત રીપોઝીટરીઝમાં સહી કરેલ કન્ટેનર મૂકવા માટે રચાયેલ છે.

ની રજૂઆત સિગસ્ટોર સોફ્ટવેર વિતરણ ચેનલોની સુરક્ષા વધારવા માટે પરવાનગી આપે છે અને પુસ્તકાલય અને અવલંબન અવેજીકરણ (સપ્લાય ચેઇન) ને લક્ષ્ય બનાવતા હુમલાઓ સામે રક્ષણ આપે છે. ઓપન સોર્સ સોફ્ટવેરમાં મુખ્ય સુરક્ષા સમસ્યાઓ પૈકી એક પ્રોગ્રામના સ્ત્રોતને ચકાસવામાં અને બિલ્ડ પ્રક્રિયાને ચકાસવામાં મુશ્કેલી છે.

સંસ્કરણ ચકાસણી માટે ડિજિટલ હસ્તાક્ષરનો ઉપયોગ હજી વ્યાપક નથી કી વ્યવસ્થાપન, સાર્વજનિક કી વિતરણ અને ચેડા કરાયેલી કીને રદ કરવામાં મુશ્કેલીઓને કારણે. ચકાસણીને અર્થપૂર્ણ બનાવવા માટે, સાર્વજનિક ચાવીઓ અને ચેકસમના વિતરણ માટે વિશ્વસનીય અને સુરક્ષિત પ્રક્રિયા ગોઠવવી પણ જરૂરી છે. ડિજિટલ હસ્તાક્ષર સાથે પણ, ઘણા વપરાશકર્તાઓ ચકાસણીની અવગણના કરે છે કારણ કે તે ચકાસણી પ્રક્રિયા શીખવામાં અને કઈ કી વિશ્વસનીય છે તે સમજવામાં સમય લે છે.

આ પ્રોજેક્ટ ઓપનએસએસએફ (ઓપન સોર્સ સિક્યુરિટી ફાઉન્ડેશન) અને પરડ્યુ યુનિવર્સિટીની ભાગીદારી સાથે Google, Red Hat, Cisco, vmWare, GitHub અને HP Enterprise ના બિન-લાભકારી Linux ફાઉન્ડેશનના આશ્રય હેઠળ વિકસાવવામાં આવી રહ્યો છે.

છેલ્લે, જો તમે તેના વિશે વધુ જાણવા માટે સક્ષમ થવામાં રસ ધરાવો છો, તો તમે વિગતોની સલાહ લઈ શકો છો નીચેની કડી.