Сигсторе се може посматрати као Лет'с Енцрипт за код, који обезбеђује сертификате за дигитално потписивање кода и алате за аутоматизацију верификације.
Гоогле представио путем објаве на блогу, најава о формирање првих стабилних верзија о компоненте које чине пројекат сигсторе, који је проглашен погодним за креирање радних размештаја.
За оне који не знају за Сигсторе, треба да знају да је ово пројекат који има за циљ развој и пружање алата и услуга за верификацију софтвера коришћење дигиталних потписа и вођење јавног регистра који потврђује аутентичност измена (регистратор транспарентности).
Са Сигстором, програмери могу дигитално потписати артефакти у вези са апликацијом као што су датотеке издања, слике контејнера, манифести и извршни фајлови. Материјал који се користи за потпис се огледа у јавној евиденцији која је заштићена од неовлашћења који се може користити за проверу и ревизију.
Уместо сталних кључева, Сигсторе користи краткотрајне ефемерне кључеве који се генеришу на основу акредитива верификованих од стране ОпенИД Цоннецт провајдера (у време генерисања кључева неопходних за креирање дигиталног потписа, програмер се идентификује преко ОпенИД провајдера са везом е-поште).
Аутентичност кључева се проверава централизованим јавним регистром, што вам омогућава да се уверите да је аутор потписа тачно онај за кога кажу да јесте и да је потпис формирао исти учесник који је био одговоран за раније верзије.
Припрема Сигстора за имплементацију је због верзионисање две кључне компоненте: Рекор 1.0 и Фулцио 1.0, чији су програмски интерфејси проглашени стабилним и од сада задржавају компатибилност са претходним верзијама. Компоненте услуге су написане у Го-у и објављене су под лиценцом Апацхе 2.0.
Компонента Рекор садржи имплементацију регистра за складиштење дигитално потписаних метаподатака који одражавају информације о пројектима. Да би се обезбедио интегритет и заштита од оштећења података, користи се структура Меркле Трее у којој свака грана верификује све основне гране и чворове преко заједничког хеша (стабла). Имајући коначан хеш, корисник може да провери исправност целокупне историје операција, као и тачност прошлих стања базе података (хеш за проверу роот-а новог стања базе података израчунава се с обзиром на прошло стање). Обезбеђен је РЕСТфул АПИ за проверу и додавање нових записа, као и интерфејс командне линије.
Компонента фулцијус (СигСторе ВебПКИ) укључује систем за креирање сертификационих тела (роот ЦА) који издају краткотрајне сертификате на основу аутентификоване е-поште преко ОпенИД Цоннецт-а. Животни век сертификата је 20 минута, током којих програмер мора имати времена да генерише дигитални потпис (ако сертификат доспе у руке нападача у будућности, он ће већ бити истекао). такође, пројекат развија комплет алата Цосигн (Потписивање контејнера), дизајниран за генерисање потписа за контејнере, верификацију потписа и постављање потписаних контејнера у ОЦИ (Опен Цонтаинер Инитиативе) компатибилна спремишта.
Увод у Сигсторе омогућава повећање безбедности канала за дистрибуцију софтвера и заштиту од напада усмерених на библиотеку и замену зависности (ланац снабдевања). Једно од кључних безбедносних проблема у софтверу отвореног кода је тешкоћа верификације извора програма и верификације процеса израде.
Употреба дигиталних потписа за верификацију верзије још увек није широко распрострањена због потешкоћа у управљању кључевима, дистрибуцији јавних кључева и опозивању компромитованих кључева. Да би верификација имала смисла, такође је неопходно организовати поуздан и сигуран процес дистрибуције јавних кључева и контролних сума. Чак и са дигиталним потписом, многи корисници игноришу верификацију јер је потребно време да науче процес верификације и разумеју ком кључу се верује.
Пројекат се развија под покровитељством непрофитне Линук фондације Гоогле, Ред Хат, Цисцо, вмВаре, ГитХуб и ХП Ентерприсе уз учешће ОпенССФ (Опен Соурце Сецурити Фоундатион) и Универзитета Пурдуе.
Коначно, ако сте заинтересовани да сазнате више о томе, можете погледати детаље у следећи линк.