Sigstore, tsarin tabbatar da bayanan sirri ya riga ya tsaya tsayin daka

Darkcrizt

4 minti

kantin sayar da kayayyaki

Ana iya tunanin Sigstore azaman Bari Mu Encrypt don lamba, samar da takaddun shaida zuwa lamba ta lambobi da kayan aiki don tabbatarwa ta atomatik.

Google ya bayyana ta hanyar blog post, sanarwar samuwar farko barga versions na abubuwan da suka hada da aikin kantin sayar da kayayyaki, wanda aka ayyana dacewa don ƙirƙirar tura kayan aiki.

Ga wadanda basu san Sigstore ba, ya kamata su sani cewa wannan aikin ne yana da manufar haɓakawa da samar da kayan aiki da ayyuka don tabbatar da software ta yin amfani da sa hannu na dijital da kiyaye rajistar jama'a wanda ke tabbatar da sahihancin sauye-sauye (rejistar fayyace).

Tare da Sigstore, masu haɓakawa na iya sa hannu a dijital kayan tarihi masu alaƙa da aikace-aikacen kamar fayilolin saki, hotunan ganga, bayyanawa, da masu aiwatarwa. Abubuwan da aka yi amfani da su sa hannun yana nunawa a cikin bayanan jama'a da ba shi da tabbas wanda za'a iya amfani dashi don tabbatarwa da dubawa.

Maimakon makullin dindindin, Sigstore yana amfani da maɓallan ephemeral na ɗan gajeren lokaci waɗanda aka ƙirƙira bisa takaddun shaidar da masu samar da OpenID Connect suka tabbatar (a lokacin samar da maɓallan da ake buƙata don ƙirƙirar sa hannu na dijital, ana gano mai haɓakawa ta hanyar mai ba da OpenID tare da hanyar haɗin imel).

Ana tabbatar da sahihancin maɓallan ta hanyar rajistar jama'a ta tsakiya, wanda ke ba ka damar tabbatar da cewa mawallafin sa hannun shine ainihin wanda suka ce su ne, kuma cewa ɗan takara ɗaya ne ya kafa sa hannun wanda ke da alhakin sigar farko.

Shirye-shiryen Sigstore domin aiwatarwa saboda versioning na biyu key sassa: Rekor 1.0 da Fulcio 1.0, wanda aka ayyana musaya na shirye-shirye sun tabbata kuma daga yanzu suna riƙe dacewa da sigogin da suka gabata. An rubuta sassan sabis ɗin a cikin Go kuma ana fitar da su ƙarƙashin lasisin Apache 2.0.

Bangaren Rekor ya ƙunshi aiwatar da rajista don adana metadata da aka rattaba hannu a kan lambobi wanda ke nuna bayanai game da ayyukan. Don tabbatar da mutunci da kariya daga cin hanci da rashawa, ana amfani da tsarin bishiyar Merkle wanda kowane reshe ya tabbatar da duk rassa da nodes ta hanyar hash haɗin gwiwa (itace). Ta hanyar samun hash na ƙarshe, mai amfani zai iya tabbatar da daidaiton tarihin aikin gabaɗayan, da kuma daidaitattun jihohin da suka gabata na ma'ajin bayanai (ana ƙididdige tushen hash ɗin sabuwar yanayin bayanan la'akari da yanayin da ya gabata). API ɗin RESTful don dubawa da ƙara sabbin bayanai an samar da shi, da kuma hanyar haɗin layin umarni.

Bangaren fulcius (SigStore WebPKI) ya haɗa da tsarin ƙirƙirar hukumomin takaddun shaida (tushen CA) wanda ke ba da takaddun shaida na ɗan gajeren lokaci dangane da ingantacciyar imel ta OpenID Connect. Rayuwar takardar shaidar shine minti 20, wanda dole ne mai haɓakawa ya sami lokaci don samar da sa hannu na dijital (idan takardar shaidar ta fada hannun maharan nan gaba, tuni ta ƙare). Hakanan, aikin yana haɓaka kayan aikin Cosign (Sa hannun Kwantena), ƙirƙira don samar da sa hannu don kwantena, tabbatar da sa hannun hannu da sanya kwantena da aka sa hannu a cikin ma'ajiyar OCI (Open Container Initiative).

Gabatarwar Sigstore yana ba da damar haɓaka tsaro na tashoshin rarraba software da kuma kare kai daga hare-haren da ake kaiwa ɗakin karatu da maye gurbin abin dogaro (sarkar kaya). Ɗaya daga cikin mahimman batutuwan tsaro a cikin buɗaɗɗen software shine wahalar tabbatar da tushen shirin da kuma tabbatar da tsarin ginawa.

Amfani da sa hannun dijital don tabbatar da sigar bai yadu ba tukuna saboda wahalhalu wajen sarrafa mahimmin aiki, rarraba maɓalli na jama'a, da soke maɓallan da aka lalata. Don tabbatarwa don yin ma'ana, ya zama dole kuma a tsara ingantaccen tsari mai aminci don rarraba maɓallan jama'a da takaddun shaida. Ko da tare da sa hannun dijital, yawancin masu amfani suna watsi da tabbatarwa saboda yana ɗaukar lokaci don koyon tsarin tabbatarwa da fahimtar wane maɓalli ne aka amince da shi.

Ana ci gaba da aikin a ƙarƙashin kulawar Gidauniyar Linux mai zaman kanta ta Google, Red Hat, Cisco, vmWare, GitHub, da Kamfanin HP tare da halartar OpenSSF (Open Source Security Foundation) da Jami'ar Purdue.

A ƙarshe, idan kuna da sha'awar samun ƙarin sani game da shi, zaku iya tuntuɓar cikakkun bayanai a ciki mahada mai zuwa.


Bar tsokaci

Your email address ba za a buga. Bukata filayen suna alama da *

*

*

  1. Alhakin bayanai: AB Internet Networks 2008 SL
  2. Manufar bayanan: Sarrafa SPAM, sarrafa sharhi.
  3. Halacci: Yarda da yarda
  4. Sadarwar bayanan: Ba za a sanar da wasu bayanan ga wasu kamfanoni ba sai ta hanyar wajibcin doka.
  5. Ajiye bayanai: Bayanin yanar gizo wanda Occentus Networks (EU) suka dauki nauyi
  6. Hakkoki: A kowane lokaci zaka iyakance, dawo da share bayanan ka.