ניתן לחשוב על Sigstore כאל Let's Encrypt for קוד, המספקת אישורים לחתימה דיגיטלית של קוד וכלים לאוטומטיים של אימות.
גוגל חשפה באמצעות פוסט בבלוג, ההכרזה על היווצרות הגרסאות היציבות הראשונות של המרכיבים המרכיבים את הפרויקט שלטים, אשר מוכרז מתאים ליצירת פריסות עבודה.
למי שלא מודע לסיגסטור, כדאי לדעת שמדובר בפרויקט ש מטרתה לפתח ולספק כלים ושירותים לאימות תוכנה שימוש בחתימות דיגיטליות וניהול רישום ציבורי המאשר את מקוריות השינויים (מרשם שקיפות).
עם Sigstore, מפתחים יכולים לחתום דיגיטלית חפצים הקשורים לאפליקציות כגון קבצי שחרור, תמונות מיכל, מניפסטים וקובצי הפעלה. החומר המשמש עבור החתימה באה לידי ביטוי ברשומה ציבורית חסינת חבלה אשר יכול לשמש לאימות וביקורת.
במקום מפתחות קבועים, Sigstore משתמשת במפתחות ארעיים קצרי מועד המופקים על סמך האישורים המאומתים על ידי ספקי OpenID Connect (בזמן יצירת המפתחות הדרושים ליצירת חתימה דיגיטלית, המפתח מזוהה באמצעות ספק ה-OpenID עם קישור אימייל).
האותנטיות של המפתחות מאומתת על ידי רישום ציבורי מרכזי, מה שמאפשר לך לוודא שמחבר החתימה הוא בדיוק מי שהם אומרים שהוא, ושהחתימה נוצרה על ידי אותו משתתף שהיה אחראי לגרסאות קודמות.
ההכנה של Sigstore ליישום נובע מ ניהול גרסאות של שני מרכיבי מפתח: רקור 1.0 ו-Fulcio 1.0, שממשקי התכנות שלו מוכרזים יציבים ומעתה שומרים על תאימות לגרסאות קודמות. רכיבי השירות כתובים ב-Go ומשוחררים תחת רישיון Apache 2.0.
הרכיב Rekor מכיל מימוש רישום לאחסון מטא נתונים חתומים דיגיטלית שמשקפים מידע על פרויקטים. כדי להבטיח שלמות והגנה מפני שחיתות נתונים, נעשה שימוש במבנה Merkle Tree שבו כל סניף מאמת את כל הענפים והצמתים הבסיסיים באמצעות hash משותף (עץ). על ידי קיום hash סופי, המשתמש יכול לאמת את נכונות היסטוריית הפעולות כולה, כמו גם את נכונות מצבי העבר של מסד הנתונים (ה-hash של בדיקת השורש של המצב החדש של מסד הנתונים מחושב בהתחשב במצב העבר). RESTful API לבדיקה והוספה של רשומות חדשות מסופק, כמו גם ממשק שורת פקודה.
הרכיב fulcius (SigStore WebPKI) כולל מערכת ליצירת רשויות אישורים (שורש CA) המנפיקים אישורים קצרי מועד המבוססים על דואר אלקטרוני מאומת באמצעות OpenID Connect. משך החיים של האישור הוא 20 דקות, במהלכן על המפתח להספיק ליצור חתימה דיגיטלית (אם האישור ייפול לידיו של תוקף בעתיד, תוקף האישור כבר יפוג). גַם, הפרויקט מפתח את ערכת הכלים של Cosign (Container Signing), שנועד ליצור חתימות למכולות, לאמת חתימות ולהציב מכולות חתומות במאגרים תואמי OCI (Open Container Initiative).
ההקדמה של Sigstore מאפשרת להגביר את האבטחה של ערוצי הפצת תוכנה ולהגן מפני התקפות המכוונות לספרייה ותלות החלפת (שרשרת אספקה). אחת מבעיות האבטחה המרכזיות בתוכנת קוד פתוח היא הקושי לאמת את מקור התוכנית ולאמת את תהליך הבנייה.
השימוש בחתימות דיגיטליות לאימות גרסאות עדיין אינו נפוץ עקב קשיים בניהול מפתחות, חלוקת מפתחות ציבוריים וביטול מפתחות שנפגעו. כדי שהאימות יהיה הגיוני, יש צורך גם לארגן תהליך אמין ומאובטח להפצת מפתחות ציבוריים וסיכומי בדיקה. אפילו עם חתימה דיגיטלית, משתמשים רבים מתעלמים מאימות מכיוון שלוקח זמן ללמוד את תהליך האימות ולהבין איזה מפתח מהימן.
הפרויקט מפותח בחסות עמותת Linux Foundation של גוגל, Red Hat, Cisco, vmWare, GitHub ו-HP Enterprise בהשתתפות OpenSSF (Open Source Security Foundation) ואוניברסיטת Purdue.
לבסוף, אם אתה מעוניין לדעת יותר על כך, תוכל להתייעץ עם הפרטים ב הקישור הבא.