Sigstore, oo ah adeegga xaqiijinta lambarka sirta ee ka socda Red Hat iyo Google

Darkcrizt

Daqiiqado 4

Red Hat iyo Google, oo ay weheliso Jaamacadda Purdue University ayaa dhowaan ku dhawaaqay aasaaska mashruuca Sigstore, yaa ujeedadu waa in la abuuro qalab iyo adeegyo si loo xaqiijiyo softiweerka iyadoo la adeegsanayo saxeexyo dhijitaal ah lana ilaaliyo diiwaanka daahfurnaanta dadweynaha. Mashruucan waxaa lagu horumarin doonaa iyada oo ay hoos imaaneyso Linux Foundation, oo ah hay'ad samafal ah.

Mashruuca la soo jeediyey kor loo qaado amniga kanaallada qaybinta softiweerka lagana ilaaliyo weerarada lala beegsanayo si loo beddelo qaybaha softiweerka iyo ku-tiirsanaanta (silsiladda sahayda). Mid ka mid ah welwelka amniga ee ku jira softiweerka furan waa dhibaatada ka haysata hubinta ilaha barnaamijka iyo hubinta habka dhismaha.

Tusaale ahaan, si loo xaqiijiyo sharafta nooca, mashaariicda badankood waxay isticmaalaan hash, Laakiin badiyaa macluumaadka loo baahan yahay si loo xaqiijiyo waxaa lagu keydiyaa nidaamyo aan la ilaalin iyo bakhaarro koodhadh wadaag ah, taas oo ay sabab u tahay isu tanaasulka ay kuwa wax weeraraya ku beddeli karaan faylasha lagama maarmaanka u ah xaqiijinta oo aan shaki kicin, soo bandhigin isbeddello xun.

Kaliya tiro yar oo mashaariic ah ayaa adeegsada saxeexyada dhijitaalka ah si ay uqaybiyaan sii-deynta iyadoo ay ugu wacan tahay kakanaanta maaraynta muhiimka ah, qaybinta furayaasha dadweynaha iyo kala noqoshada furayaasha waxyeellay. Si loo xaqiijiyo in macno loo yeesho, waxaad sidoo kale u baahan tahay inaad abaabusho hanaan lagu kalsoonaan karo oo ammaan ah oo loogu talagalay qaybinta furayaasha dadweynaha iyo jeegagga. Xitaa iyadoo leh saxeex dijitaal ah, isticmaaleyaal badan ayaa iska indha tiraya xaqiijinta maadaama ay waqti ku qaadanayso inay daraasad ku sameeyaan habka hubinta oo ay fahmaan furaha lagu kalsoon yahay.

Ku saabsan Sigstore

Sigstore waxaa loo dallacsiiyey analogga ah 'Aynu Encrypt' koodhka, pbixinta shahaadooyin saxeexa lambarka dhijitaalka ah iyo qalabyada si otomaatig ah loo xaqiijiyo. Sigstore, horumariyeyaashu waxay si dijitaal ah u saxiixi karaan farshaxanka la xiriira arjiga sida faylasha furitaanka, sawirrada weelka, muujinta, iyo waxqabadka. Astaamaha Sigstore ayaa ah in waxyaabaha loo adeegsado saxiixa ay ka muuqdaan diiwaanka dadweynaha ee laga ilaaliyo isbeddelada, kaas oo loo isticmaali karo xaqiijinta iyo xisaabinta.

Halkii laga heli lahaa furayaasha joogtada ah, Sigstore wuxuu adeegsadaa furayaasha waqti gaaban, Waxaa loo soo saaray iyada oo ku saleysan aqoonsiyada ay xaqiijiyeen bixiyeyaasha OpenID Connect (waqtiga furayaasha saxiixa dhijitaalka ah la soo saaray, horumariyaha waxaa lagu aqoonsaday iyada oo loo marayo bixiyaha OpenID oo leh xiriir email ah). Xaqiiqda furayaasha ayaa laga hubiyaa diiwaanka dadweynaha ee dhexe, taas oo kuu ogolaaneysa inaad hubiso in qoraaga saxiixa uu yahay midka uu isagu sheeganayo iyo in saxiixa uu sameeyay isla kaqeybgale masuul ka ahaa qoraalkii hore.

Sigstore waxay bixisaa adeeg u diyaarsan in la isticmaalo iyo qalab fara badan oo kuu oggolaanaya inaad ku fuliso adeegyo la mid ah kombiyuutarkaaga. Adeeggu waa u bilaash dhammaan horumariyeyaasha softiweerka iyo kuwa wax iibiya, waxaana lagu fuliyaa barxad dhexdhexaad ah: Linux Foundation. Dhammaan qaybaha adeegga waa ilo furan, oo ku qoran luqadda Go, waxaana lagu qaybiyaa liisanka Apache 2.0.

Waxyaabaha la horumarinayo, waxaa laga xusi karaa:

  • Rekor: hirgelinta diiwaanka si loo kaydiyo metadata dijital ah oo saxeexan ka tarjumaya macluumaadka ku saabsan mashaariicda. Si loo damaanad qaado sharafta iyo kahortaga marin habaabinta xogta, qaabdhismeedka geedka "Tree Merkle" ayaa dib loogu howlgeliyaa, halkaas oo laan waliba ay ka hubiso dhammaan dunta iyo waxyaabaha salka ku haya, iyada oo ay ugu wacan tahay hawsha xashiishka.
  • Fulcio (SigStore WebPKI) oo ah nidaam lagu abuurayo mas'uuliyiinta shahaadada (Root-CA) oo soo saarta shahaadooyin gaagaaban oo ku saleysan emayllo la xaqiijiyay iyada oo loo marayo OpenID Connect. Inta uu nool yahay shahaadadu waa 20 daqiiqo, inta lagu guda jiro waqtigaas waa in horumariyaha uu heystaa waqti uu ku soo saaro saxeex dijitaal ah (haddii mustaqbalka shahaadadu ku dhacdo gacanta weeraryahan, way dhacaysaa).
  • Osign (Saxeexida Weelka) qalab fara badan si loo saxeexo saxeexyada ku jira weelasha, hubi saxeexyada iyo dhig kontaynarrada la saxeexay ee OCI (Hindisaha Furitaanka Weelka Furan) bakhaarrada u hoggaansamaya.

Ugu dambeyntii, haddii aad xiiseyneyso inaad waxbadan ka ogaato mashruucan, waad la tashan kartaa faahfaahinta Xiriirka soo socda.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Ka mas'uul ah xogta: AB Internet Networks 2008 SL
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.