Sigstore चा कोडसाठी लेट्स एनक्रिप्ट म्हणून विचार केला जाऊ शकतो, कोडला डिजिटली साइन इन करण्यासाठी प्रमाणपत्रे आणि स्वयंचलित सत्यापनासाठी साधने प्रदान करतो.
गुगलने अनावरण केले ब्लॉग पोस्टद्वारे, ची घोषणा च्या पहिल्या स्थिर आवृत्त्यांची निर्मिती प्रकल्प तयार करणारे घटक सिगस्टोअर, जे कार्यरत तैनाती तयार करण्यासाठी योग्य घोषित केले आहे.
ज्यांना Sigstore बद्दल माहिती नाही, त्यांना हे माहित असले पाहिजे की हा एक प्रकल्प आहे सॉफ्टवेअरच्या पडताळणीसाठी साधने आणि सेवा विकसित करण्याचा आणि प्रदान करण्याचा उद्देश आहे डिजिटल स्वाक्षरी वापरणे आणि सार्वजनिक नोंदणी राखणे जे बदलांच्या सत्यतेची पुष्टी करते (पारदर्शकता नोंदणी).
Sigstore सह, विकसक डिजिटल स्वाक्षरी करू शकतात ऍप्लिकेशन-संबंधित कलाकृती जसे की रिलीझ फाइल्स, कंटेनर इमेजेस, मॅनिफेस्ट आणि एक्झिक्युटेबल. साठी वापरलेली सामग्री स्वाक्षरी छेडछाड-प्रूफ सार्वजनिक रेकॉर्डमध्ये प्रतिबिंबित होते जे पडताळणी आणि ऑडिटिंगसाठी वापरले जाऊ शकते.
कायम कळा ऐवजी, Sigstore अल्पायुषी क्षणिक की वापरते जे OpenID Connect प्रदात्यांद्वारे सत्यापित केलेल्या क्रेडेन्शियल्सच्या आधारे व्युत्पन्न केले जातात (डिजिटल स्वाक्षरी तयार करण्यासाठी आवश्यक की व्युत्पन्न करताना, विकसकाला OpenID प्रदात्याद्वारे ईमेल लिंकसह ओळखले जाते).
केंद्रीकृत सार्वजनिक नोंदणीद्वारे कळांची सत्यता सत्यापित केली जाते, जे तुम्हाला हे सुनिश्चित करण्यास अनुमती देते की स्वाक्षरीचा लेखक नेमका कोण आहे असे ते म्हणतात आणि स्वाक्षरी त्याच सहभागीने तयार केली होती जो पूर्वीच्या आवृत्त्यांसाठी जबाबदार होता.
सिगस्टोरची तयारी अंमलबजावणीसाठी च्यामुळे आहे दोन प्रमुख घटकांची आवृत्ती: Rekor 1.0 आणि Fulcio 1.0, ज्याचे प्रोग्रामिंग इंटरफेस स्थिर घोषित केले जातात आणि यापुढे मागील आवृत्त्यांसह सुसंगतता टिकवून ठेवतात. सेवेचे घटक Go मध्ये लिहिलेले आहेत आणि Apache 2.0 लायसन्स अंतर्गत रिलीझ केले आहेत.
घटक Rekor मध्ये डिजिटल स्वाक्षरी केलेला मेटाडेटा संचयित करण्यासाठी नोंदणी अंमलबजावणी समाविष्ट आहे जे प्रकल्पांची माहिती प्रतिबिंबित करतात. डेटा भ्रष्टाचारापासून अखंडता आणि संरक्षण सुनिश्चित करण्यासाठी, मर्कल ट्री रचना वापरली जाते ज्यामध्ये प्रत्येक शाखा संयुक्त हॅश (वृक्ष) द्वारे सर्व अंतर्निहित शाखा आणि नोड्स सत्यापित करते. ट्रेलिंग हॅश ठेवून, वापरकर्ता संपूर्ण ऑपरेशन इतिहासाची शुद्धता तसेच मागील डेटाबेस स्थितींची शुद्धता सत्यापित करू शकतो (नवीन डेटाबेस स्थितीचे मूळ चेक हॅश मागील स्थितीचा विचार करून गणना केली जाते). नवीन रेकॉर्ड तपासण्यासाठी आणि जोडण्यासाठी एक RESTful API तसेच कमांड लाइन इंटरफेस प्रदान केला आहे.
घटक फुलसियस (SigStore WebPKI) मध्ये प्रमाणन अधिकारी तयार करण्यासाठी एक प्रणाली समाविष्ट आहे (रूट CA) जे OpenID Connect द्वारे प्रमाणीकृत ईमेलवर आधारित अल्पकालीन प्रमाणपत्रे जारी करतात. प्रमाणपत्राचा कालावधी 20 मिनिटांचा आहे, ज्या दरम्यान विकासकाकडे डिजिटल स्वाक्षरी तयार करण्यासाठी वेळ असणे आवश्यक आहे (जर प्रमाणपत्र भविष्यात आक्रमणकर्त्याच्या हातात पडले तर ते आधीच कालबाह्य होईल). तसेच, प्रकल्प कॉसाइन टूलकिट विकसित करतो (कंटेनर स्वाक्षरी), कंटेनरसाठी स्वाक्षरी निर्माण करण्यासाठी, स्वाक्षरी सत्यापित करण्यासाठी आणि OCI (ओपन कंटेनर इनिशिएटिव्ह) अनुरूप भांडारांमध्ये स्वाक्षरी केलेले कंटेनर ठेवण्यासाठी डिझाइन केलेले.
चा परिचय Sigstore सॉफ्टवेअर वितरण चॅनेलची सुरक्षा वाढविण्यास अनुमती देते आणि लायब्ररी आणि अवलंबित्व प्रतिस्थापन (पुरवठा शृंखला) लक्ष्य करणाऱ्या हल्ल्यांपासून संरक्षण करा. ओपन सोर्स सॉफ्टवेअरमधील मुख्य सुरक्षा समस्यांपैकी एक म्हणजे प्रोग्रामचा स्त्रोत सत्यापित करण्यात आणि बिल्ड प्रक्रियेची पडताळणी करण्यात अडचण.
आवृत्ती पडताळणीसाठी डिजिटल स्वाक्षरीचा वापर अद्याप व्यापक नाही की व्यवस्थापनातील अडचणींमुळे, सार्वजनिक की वितरण आणि तडजोड केलेल्या की रद्द करणे. पडताळणीला अर्थ देण्यासाठी, सार्वजनिक की आणि चेकसमच्या वितरणासाठी विश्वसनीय आणि सुरक्षित प्रक्रिया आयोजित करणे देखील आवश्यक आहे. डिजिटल स्वाक्षरीसह देखील, बरेच वापरकर्ते पडताळणीकडे दुर्लक्ष करतात कारण पडताळणी प्रक्रिया जाणून घेण्यासाठी आणि कोणती की विश्वासार्ह आहे हे समजण्यास वेळ लागतो.
हा प्रकल्प ओपनएसएसएफ (ओपन सोर्स सिक्युरिटी फाउंडेशन) आणि पर्ड्यू युनिव्हर्सिटीच्या सहभागासह Google, Red Hat, Cisco, vmWare, GitHub आणि HP Enterprise च्या नानफा लिनक्स फाऊंडेशनच्या आश्रयाखाली विकसित केला जात आहे.
शेवटी, जर तुम्हाला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असेल तर तुम्ही त्यातील तपशीलांचा सल्ला घेऊ शकता खालील दुवा.