Sigstore mund të mendohet si një Let's Encrypt për kodin, duke ofruar certifikata për të nënshkruar kodin në mënyrë dixhitale dhe mjete për të automatizuar verifikimin.
Google zbuloi përmes një postimi në blog, njoftimi i formimi i versioneve të para të qëndrueshme të komponentët që përbëjnë projektin sigstore, i cili shpallet i përshtatshëm për krijimin e dislokimeve të punës.
Për ata që nuk janë në dijeni të Sigstore, duhet të dinë se ky është një projekt që ka për qëllim zhvillimin dhe ofrimin e mjeteve dhe shërbimeve për verifikimin e softuerit përdorimi i nënshkrimeve dixhitale dhe mbajtja e një regjistri publik që konfirmon vërtetësinë e ndryshimeve (regjistri i transparencës).
Me Sigstore, zhvilluesit mund të nënshkruajnë në mënyrë dixhitale artefakte të lidhura me aplikacionin si skedarët e lëshimit, imazhet e kontejnerëve, manifestet dhe ekzekutuesit. Materiali i përdorur për nënshkrimi pasqyrohet në një procesverbal publik të padëmshëm të cilat mund të përdoren për verifikim dhe auditim.
Në vend të çelësave të përhershëm, Sigstore përdor çelësa kalimtarë jetëshkurtër që krijohen bazuar në kredencialet e verifikuara nga ofruesit e OpenID Connect (në momentin e gjenerimit të çelësave të nevojshëm për të krijuar një nënshkrim dixhital, zhvilluesi identifikohet përmes ofruesit të OpenID me një lidhje emaili).
Autenticiteti i çelësave verifikohet nga një regjistër publik i centralizuar, e cila ju lejon të siguroheni që autori i nënshkrimit është pikërisht ai që thonë se janë dhe se nënshkrimi është formuar nga i njëjti pjesëmarrës që ishte përgjegjës për versionet e mëparshme.
Përgatitja e Sigstore për zbatim është për shkak të versionimi i dy komponentëve kryesorë: Rekor 1.0 dhe Fulcio 1.0, ndërfaqet programuese të të cilave deklarohen të qëndrueshme dhe tani e tutje ruajnë përputhshmërinë me versionet e mëparshme. Komponentët e shërbimit janë shkruar në Go dhe lëshohen nën licencën Apache 2.0.
Komponenti Rekor përmban një zbatim të regjistrit për të ruajtur meta të dhënat e nënshkruara dixhitale që pasqyrojnë informacione rreth projekteve. Për të garantuar integritetin dhe mbrojtjen kundër korrupsionit të të dhënave, përdoret një strukturë Merkle Tree në të cilën secila degë verifikon të gjitha degët dhe nyjet themelore nëpërmjet hash-it të përbashkët (pemës). Duke pasur një hash pasues, përdoruesi mund të verifikojë korrektësinë e të gjithë historisë së funksionimit, si dhe korrektësinë e gjendjeve të kaluara të bazës së të dhënave (hash-i i kontrollit rrënjësor të gjendjes së re të bazës së të dhënave llogaritet duke marrë parasysh gjendjen e kaluar). Ofrohet një API RESTful për kontrollimin dhe shtimin e të dhënave të reja, si dhe një ndërfaqe të linjës së komandës.
Komponenti fulcius (SigStore WebPKI) përfshin një sistem për krijimin e autoriteteve të certifikimit (root CA) që lëshojnë certifikata jetëshkurtër bazuar në email të vërtetuar nëpërmjet OpenID Connect. Jetëgjatësia e certifikatës është 20 minuta, gjatë së cilës zhvilluesi duhet të ketë kohë për të gjeneruar një nënshkrim dixhital (nëse certifikata bie në duart e një sulmuesi në të ardhmen, ajo tashmë do të ketë skaduar). Gjithashtu, projekti zhvillon paketën e veglave Cosign (Nënshkrimi i kontejnerëve), i projektuar për të gjeneruar nënshkrime për kontejnerë, për të verifikuar nënshkrimet dhe për të vendosur kontejnerë të nënshkruar në depo në përputhje me OCI (Open Container Initiative).
Prezantimi i Sigstore lejon rritjen e sigurisë së kanaleve të shpërndarjes së softuerit dhe mbrojeni kundër sulmeve që synojnë bibliotekën dhe zëvendësimin e varësisë (zinxhiri i furnizimit). Një nga çështjet kryesore të sigurisë në softuerin me burim të hapur është vështirësia për të verifikuar burimin e programit dhe verifikimin e procesit të ndërtimit.
Përdorimi i nënshkrimeve dixhitale për verifikimin e versionit nuk është ende i përhapur për shkak të vështirësive në menaxhimin e çelësave, shpërndarjen e çelësit publik dhe revokimin e çelësave të komprometuar. Që verifikimi të ketë kuptim, është gjithashtu e nevojshme të organizohet një proces i besueshëm dhe i sigurt për shpërndarjen e çelësave publikë dhe kontrolleve. Edhe me një nënshkrim dixhital, shumë përdorues e injorojnë verifikimin sepse kërkon kohë për të mësuar procesin e verifikimit dhe për të kuptuar se cilit çelës i besohet.
Projekti po zhvillohet nën kujdesin e Fondacionit Linux jofitimprurës të Google, Red Hat, Cisco, vmWare, GitHub dhe HP Enterprise me pjesëmarrjen e OpenSSF (Open Source Security Foundation) dhe Universitetit Purdue.
Së fundi, nëse jeni të interesuar të jeni në gjendje të dini më shumë për të, mund të konsultoheni me detajet në lidhja e mëposhtme.