„Sigstore“ gali būti laikoma kodo šifravimo priemone, teikiančia sertifikatus skaitmeniniam kodo pasirašymui ir įrankius, skirtus automatizuoti patvirtinimą.
„Google“ pristatė per tinklaraščio įrašą, paskelbimą apie pirmųjų stabilių versijų formavimas komponentai, sudarantys projektą parduotuvė, kuri paskelbta tinkama darbo dislokacijų kūrimui.
Tie, kurie nežino apie Sigstore, turėtų žinoti, kad tai yra projektas turi tikslą kurti ir teikti programinės įrangos tikrinimo įrankius ir paslaugas naudojant skaitmeninius parašus ir tvarkyti viešąjį registrą, patvirtinantį pakeitimų autentiškumą (skaidrumo registrą).
Su Sigstore, kūrėjai gali pasirašyti skaitmeniniu būdu su programa susijusius artefaktus, tokius kaip leidimo failai, konteinerio vaizdai, aprašai ir vykdomieji failai. Medžiaga, naudojama parašas atsispindi nuo klastojimo apsaugotame viešame įraše kurie gali būti naudojami tikrinimui ir auditui.
Vietoj nuolatinių raktų, Sigstore naudoja trumpalaikius trumpalaikius raktus kurie generuojami remiantis „OpenID Connect“ teikėjų patvirtintais kredencialais (generuojant raktus, reikalingus skaitmeniniam parašui sukurti, kūrėjas identifikuojamas per OpenID teikėją su el. pašto nuoroda).
Raktų autentiškumą tikrina centralizuotas viešasis registras, o tai leidžia įsitikinti, kad parašo autorius yra būtent tai, kas sakosi esąs, ir kad parašą sudarė tas pats dalyvis, kuris buvo atsakingas už ankstesnes versijas.
Sigstore paruošimas įgyvendinimui Yra dėl dviejų pagrindinių komponentų versijų kūrimas: Rekor 1.0 ir Fulcio 1.0, kurios programavimo sąsajos paskelbtos stabiliomis ir nuo šiol išlaiko suderinamumą su ankstesnėmis versijomis. Paslaugos komponentai parašyti Go ir išleisti pagal Apache 2.0 licenciją.
Komponentas „Rekor“ yra registro diegimas, skirtas saugoti skaitmeniniu būdu pasirašytus metaduomenis kurie atspindi informaciją apie projektus. Siekiant užtikrinti vientisumą ir apsaugą nuo duomenų sugadinimo, naudojama Merkle Tree struktūra, kurioje kiekviena šaka patikrina visas pagrindines šakas ir mazgus per bendrą maišą (medį). Turėdamas galutinę maišą, vartotojas gali patikrinti visos operacijų istorijos teisingumą, taip pat ankstesnių duomenų bazės būsenų teisingumą (naujos duomenų bazės būsenos šakninio patikrinimo maiša skaičiuojama atsižvelgiant į praeitą būseną). Pateikiama RESTful API, skirta naujiems įrašams tikrinti ir pridėti, taip pat komandų eilutės sąsaja.
Komponentas fulcius (SigStore WebPKI) apima sertifikavimo institucijų kūrimo sistemą (root CA), kurie išduoda trumpalaikius sertifikatus, pagrįstus autentifikuotu el. paštu per OpenID Connect. Sertifikato galiojimo laikas yra 20 minučių, per kurį kūrėjas turi turėti laiko sugeneruoti skaitmeninį parašą (jei sertifikatas ateityje patektų į užpuoliko rankas, jis jau bus pasibaigęs). Taip pat projektas kuria Cosign priemonių rinkinį (Container Signing), skirta konteinerių parašams generuoti, parašams tikrinti ir pasirašytiems konteineriams įdėti į OCI (Open Container Initiative) suderinamas saugyklas.
Įvadas Sigstore leidžia padidinti programinės įrangos platinimo kanalų saugumą ir apsaugoti nuo atakų, nukreiptų į biblioteką ir priklausomybės pakeitimą (tiekimo grandinę). Viena iš pagrindinių atvirojo kodo programinės įrangos saugumo problemų yra programos šaltinio ir kūrimo proceso patikrinimo sunkumai.
Skaitmeninių parašų naudojimas versijos tikrinimui dar nėra plačiai paplitęs dėl sunkumų valdant raktus, platinant viešąjį raktą ir atšaukiant pažeistus raktus. Kad patikrinimas būtų prasmingas, taip pat būtina organizuoti patikimą ir saugų viešųjų raktų ir kontrolinių sumų paskirstymo procesą. Net ir turėdami skaitmeninį parašą, daugelis vartotojų nepaiso patvirtinimo, nes reikia laiko išmokti patvirtinimo procesą ir suprasti, kuris raktas yra patikimas.
Projektą globoja ne pelno siekiantis „Linux Foundation“ „Google“, „Red Hat“, „Cisco“, „vmWare“, „GitHub“ ir „HP Enterprise“, dalyvaujant „OpenSSF“ (Atvirojo kodo saugos fondas) ir Purdue universitetas.
Galiausiai, jei jus domina galimybė sužinoti daugiau apie tai, galite paskaityti išsamią informaciją šią nuorodą.