Sigstore, Red Hat жана Google криптографиялык кодун текшерүү кызматы

darkcrizt | | Жаңыртылган күнү | жаңылык, каражаттар

Жорум жок

Red Hat жана Google, Purdue University менен бирге жакында Sigstore долбоорунун негизделгендигин жарыялашты, кимдин Максаты - санарип кол тамгаларын колдонуу менен программалык камсыздоону текшерүү үчүн куралдарды жана кызматтарды түзүү жана коомдук ачыктыктын реестрин жүргүзүү. Долбоор Linux Foundation коммерциялык эмес уюмунун колдоосу астында иштелип чыгат.

Сунушталган долбоор программалык камсыздоо жайылтуу каналдарынын коопсуздугун жогорулатуу жана максаттуу чабуулдардан коргоо программалык компоненттерди жана көз карандылыктарды алмаштыруу (камсыздоо тизмеги) Ачык программалык камсыздоодогу коопсуздук маселелеринин бири - бул программанын булагын текшерүү жана куруу процессин текшерүү кыйынчылыгы.

Мисалы, версиянын бүтүндүгүн текшерүү үчүн, көпчүлүк долбоорлор таштанды колдонушат, Бирок көбүнчө аутентификация үчүн керектүү маалыматтар корголбогон тутумдарда жана коддордун жалпы сактагычтарында сакталат, компромисстин натыйжасында чабуулчулар текшерүү үчүн зарыл болгон файлдарды алмаштырып, шек санабастан, зыяндуу өзгөртүүлөрдү киргизишет.

Долбоорлордун азчылыгы гана санариптик колтамгаларды чыгарууну жайылтууда, негизги башкаруунун татаалдыгына байланыштуу колдонушат, ачык ачкычтарды таркатуу жана компромисстик ачкычтарды жокко чыгаруу. Текшерүүнүн мааниси бар болушу үчүн, ачык ачкычтарды жана суммаларды бөлүштүрүү үчүн ишенимдүү жана коопсуз процессти уюштурушуңуз керек. Санарип кол тамгасы менен дагы, көптөгөн колдонуучулар текшерүүнү четке кагышат, анткени текшерүү процессин изилдеп, кайсы ачкычка ишенүүгө боло тургандыгын түшүнүү керек.

Sigstore жөнүндө

Sigstore Келгиле, Шифрлөөнүн аналогу катары жайылтылат код үчүн, бсанариптик кодго кол коюуга сертификаттарды жана текшерүүнү автоматташтыруучу шаймандарды берүү. Sigstore менен, иштеп чыгуучулар файл, контейнер сүрөттөрү, манифесттер жана аткарылуучу программалар сыяктуу тиркемелерге санарип кол коё алышат. Sigstoreдун өзгөчөлүгү - кол коюу үчүн колдонулган материал текшерүүдөн жана текшерүүдөн пайдаланылышы мүмкүн болгон өзгөрүүлөрдөн корголгон коомдук жазууда чагылдырылат.

Туруктуу ачкычтардын ордуна, Sigstore кыска мөөнөттүү эфемердик ачкычтарды колдонот, Алар OpenID Connect провайдерлери тастыктаган ишеним документтеринин негизинде түзүлөт (санарип кол тамга ачкычтары түзүлгөн учурда, иштеп чыгуучу электрондук почта шилтемеси менен OpenID провайдери аркылуу аныкталат). Ачкычтардын аныктыгы борборлоштурулган жалпыга маалымдоо жазуусунан текшерилип, колтамга автору өзүнүн ким экендигин ырастагандыгын жана колтамга мурунку нускалары үчүн жооптуу болгон ошол эле катышуучу тарабынан түзүлгөндүгүн текшерүүгө мүмкүндүк берет.

Sigstore колдонууга даяр кызматын жана ушул сыяктуу кызматтарды компьютериңизде ишке ашырууга мүмкүнчүлүк берген шаймандардын топтомун сунуштайт. Кызмат бардык программалык камсыздоону иштеп чыгуучуларга жана сатуучуларга акысыз, ал бейтарап платформада ишке ашырылат: Linux Foundation. Кызматтын бардык компоненттери ачык булактуу, Go тилинде жазылган жана Apache 2.0 лицензиясынын негизинде таратылган.

Иштелип жаткан компоненттердин ичинен:

  • Rekor: санарип кол коюлган метадайындарды сактоо үчүн реестрди ишке ашыруу долбоорлор жөнүндө маалыматты чагылдырган. Бүткүлдүктү жана маалыматтын бузулушунан коргоону кепилдөө үчүн, "Tree Merkle" дарагы структурасы артка тартылып колдонулат, бул жерде ар бир бутак таштоо функциясынын жардамы менен бардык жиптерди жана астындагы компоненттерди текшерет.
  • Fulcio (SigStore WebPKI) сертификациялоо органдарын түзүү тутуму OpenID Connect аркылуу аныкталган электрондук почталардын негизинде кыска мөөнөттүү сертификаттарды чыгарган (Root-CA). Сертификаттын иштөө мөөнөтү 20 мүнөттү түзөт, бул убакыттын ичинде иштеп чыгуучу ЭЦКны иштеп чыгууга убакыт табышы керек (эгерде келечекте сертификат кол салуучунун колуна тийип калса, анын мөөнөтү бүтөт).
  • Сosign (Container Signning) контейнерлердеги колтамгаларды жаратуучу куралдардын жыйындысы, колтамгаларды текшерип, кол коюлган контейнерлерди OCI (Open Container Initiative) талаптарына жооп берген репозитарийге жайгаштырыңыз.

Акыры, эгер сиз бул долбоор жөнүндө көбүрөөк билүүгө кызыкдар болсоңуз, анда кененирээк маалымат алсаңыз болот Төмөнкү шилтемеде.


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

Комментарий биринчи болуп

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: AB Internet Networks 2008 SL
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.