சிக்ஸ்டோர், கிரிப்டோகிராஃபிக் சரிபார்ப்பு அமைப்பு ஏற்கனவே நிலையாக உள்ளது

Darkcrizt

4 நிமிடங்கள்

சிக்ஸ்டோர்

சிக்ஸ்டோர் என்பது குறியீட்டிற்கான லெட்ஸ் என்க்ரிப்ட் என கருதலாம், டிஜிட்டல் முறையில் கையொப்பமிடுவதற்கான சான்றிதழ்களையும் சரிபார்ப்பை தானியங்குபடுத்துவதற்கான கருவிகளையும் வழங்குகிறது.

கூகிள் வெளியிட்டது ஒரு வலைப்பதிவு இடுகை மூலம், அறிவிப்பு முதல் நிலையான பதிப்புகளின் உருவாக்கம் திட்டத்தை உருவாக்கும் கூறுகள் சிக்ஸ்டோர், பணியிடங்களை உருவாக்குவதற்கு ஏற்றதாக அறிவிக்கப்பட்டுள்ளது.

Sigstore பற்றி அறியாதவர்கள், இது ஒரு திட்டம் என்பதை அவர்கள் தெரிந்து கொள்ள வேண்டும் மென்பொருள் சரிபார்ப்புக்கான கருவிகள் மற்றும் சேவைகளை உருவாக்கி வழங்குவதை நோக்கமாகக் கொண்டுள்ளது டிஜிட்டல் கையொப்பங்களைப் பயன்படுத்துதல் மற்றும் மாற்றங்களின் நம்பகத்தன்மையை உறுதிப்படுத்தும் பொதுப் பதிவேட்டைப் பராமரித்தல் (வெளிப்படைத்தன்மை பதிவு).

Sigstore உடன், டெவலப்பர்கள் டிஜிட்டல் கையொப்பமிடலாம் வெளியீட்டு கோப்புகள், கொள்கலன் படங்கள், மேனிஃபெஸ்டுகள் மற்றும் இயங்கக்கூடியவை போன்ற பயன்பாடு தொடர்பான கலைப்பொருட்கள். பயன்படுத்தப்படும் பொருள் கையொப்பம் சேதமடையாத பொது பதிவில் பிரதிபலிக்கிறது சரிபார்ப்பு மற்றும் தணிக்கைக்கு பயன்படுத்தக்கூடியது.

நிரந்தர விசைகளுக்கு பதிலாக, Sigstore குறுகிய கால எபிமரல் விசைகளைப் பயன்படுத்துகிறது OpenID Connect வழங்குநர்களால் சரிபார்க்கப்பட்ட நற்சான்றிதழ்களின் அடிப்படையில் உருவாக்கப்பட்டவை (டிஜிட்டல் கையொப்பத்தை உருவாக்கத் தேவையான விசைகளை உருவாக்கும் நேரத்தில், மின்னஞ்சல் இணைப்புடன் OpenID வழங்குநர் மூலம் டெவலப்பர் அடையாளம் காணப்படுவார்).

விசைகளின் நம்பகத்தன்மை ஒரு மையப்படுத்தப்பட்ட பொதுப் பதிவேட்டால் சரிபார்க்கப்படுகிறது, கையொப்பத்தின் ஆசிரியர் அவர்கள் யார் என்று சரியாகச் சொல்கிறார்கள் என்பதையும், முந்தைய பதிப்புகளுக்குப் பொறுப்பான அதே பங்கேற்பாளரால் கையொப்பம் உருவாக்கப்பட்டது என்பதையும் உறுதிப்படுத்த இது உங்களை அனுமதிக்கிறது.

சிக்ஸ்டோர் தயாரித்தல் செயல்படுத்துவதற்காக இக்காரணத்தால் இரண்டு முக்கிய கூறுகளின் பதிப்பு: Rekor 1.0 மற்றும் Fulcio 1.0, அதன் நிரலாக்க இடைமுகங்கள் நிலையானதாக அறிவிக்கப்பட்டு, இனி முந்தைய பதிப்புகளுடன் இணக்கத்தன்மையைத் தக்கவைத்துக்கொள்கின்றன. சேவையின் கூறுகள் Go இல் எழுதப்பட்டு Apache 2.0 உரிமத்தின் கீழ் வெளியிடப்படுகின்றன.

கூறு Rekor டிஜிட்டல் கையொப்பமிடப்பட்ட மெட்டாடேட்டாவைச் சேமிப்பதற்கான பதிவேட்டில் செயல்படுத்தலைக் கொண்டுள்ளது திட்டங்கள் பற்றிய தகவல்களை பிரதிபலிக்கிறது. தரவு ஊழலுக்கு எதிராக ஒருமைப்பாடு மற்றும் பாதுகாப்பை உறுதி செய்ய, ஒரு மெர்க்ல் ட்ரீ அமைப்பு பயன்படுத்தப்படுகிறது, இதில் ஒவ்வொரு கிளையும் கூட்டு ஹாஷ் (மரம்) வழியாக அனைத்து அடிப்படை கிளைகளையும் முனைகளையும் சரிபார்க்கிறது. இறுதி ஹாஷ் வைத்திருப்பதன் மூலம், பயனர் முழு செயல்பாட்டு வரலாற்றின் சரியான தன்மையையும், தரவுத்தளத்தின் கடந்த நிலைகளின் சரியான தன்மையையும் சரிபார்க்க முடியும் (தரவுத்தளத்தின் புதிய நிலையின் ரூட் காசோலை ஹாஷ் கடந்த நிலையைக் கருத்தில் கொண்டு கணக்கிடப்படுகிறது). புதிய பதிவுகளைச் சரிபார்ப்பதற்கும் சேர்ப்பதற்கும் ஒரு RESTful API வழங்கப்படுகிறது, அத்துடன் கட்டளை வரி இடைமுகமும் வழங்கப்பட்டுள்ளது.

கூறு ஃபுல்சியஸ் (SigStore WebPKI) சான்றிதழ் அதிகாரிகளை உருவாக்குவதற்கான அமைப்பை உள்ளடக்கியது (root CA) OpenID Connect வழியாக அங்கீகரிக்கப்பட்ட மின்னஞ்சலின் அடிப்படையில் குறுகிய கால சான்றிதழ்களை வழங்கும். சான்றிதழின் ஆயுட்காலம் 20 நிமிடங்கள் ஆகும், இதன் போது டெவலப்பருக்கு டிஜிட்டல் கையொப்பத்தை உருவாக்க நேரம் இருக்க வேண்டும் (எதிர்காலத்தில் சான்றிதழானது தாக்குபவர்களின் கைகளில் விழுந்தால், அது ஏற்கனவே காலாவதியாகிவிடும்). மேலும், திட்டம் Cosign கருவித்தொகுப்பை உருவாக்குகிறது (கன்டெய்னர் கையொப்பமிடுதல்), கொள்கலன்களுக்கான கையொப்பங்களை உருவாக்கவும், கையொப்பங்களைச் சரிபார்க்கவும் மற்றும் கையொப்பமிடப்பட்ட கொள்கலன்களை OCI (திறந்த கொள்கலன் முன்முயற்சி) இணக்கமான களஞ்சியங்களில் வைக்கவும் வடிவமைக்கப்பட்டுள்ளது.

அறிமுகம் சிக்ஸ்டோர் மென்பொருள் விநியோக சேனல்களின் பாதுகாப்பை அதிகரிக்க அனுமதிக்கிறது மற்றும் நூலகம் மற்றும் சார்பு மாற்றீடு (சப்ளை சங்கிலி) இலக்கு தாக்குதல்களுக்கு எதிராக பாதுகாக்கவும். திறந்த மூல மென்பொருளில் உள்ள முக்கிய பாதுகாப்பு சிக்கல்களில் ஒன்று, நிரலின் மூலத்தை சரிபார்ப்பது மற்றும் உருவாக்க செயல்முறையை சரிபார்ப்பதில் உள்ள சிரமம் ஆகும்.

பதிப்பு சரிபார்ப்புக்கு டிஜிட்டல் கையொப்பங்களின் பயன்பாடு இன்னும் பரவலாக இல்லை முக்கிய மேலாண்மை, பொது விசை விநியோகம் மற்றும் சமரசம் செய்யப்பட்ட விசைகளை திரும்பப் பெறுதல் ஆகியவற்றில் உள்ள சிக்கல்கள் காரணமாக. சரிபார்ப்பு அர்த்தமுள்ளதாக இருக்க, பொது விசைகள் மற்றும் செக்சம்களின் விநியோகத்திற்கான நம்பகமான மற்றும் பாதுகாப்பான செயல்முறையை ஒழுங்கமைப்பதும் அவசியம். டிஜிட்டல் கையொப்பத்துடன் கூட, பல பயனர்கள் சரிபார்ப்பைப் புறக்கணிக்கிறார்கள், ஏனெனில் சரிபார்ப்பு செயல்முறையைக் கற்றுக்கொள்வதற்கும் எந்த விசை நம்பகமானது என்பதைப் புரிந்துகொள்வதற்கும் நேரம் எடுக்கும்.

Google, Red Hat, Cisco, vmWare, GitHub மற்றும் HP Enterprise ஆகியவற்றின் இலாப நோக்கற்ற Linux அறக்கட்டளையின் அனுசரணையில், OpenSSF (ஓப்பன் சோர்ஸ் செக்யூரிட்டி ஃபவுண்டேஷன்) மற்றும் பர்டூ பல்கலைக்கழகத்தின் பங்கேற்புடன் இந்தத் திட்டம் உருவாக்கப்படுகிறது.

இறுதியாக, அதைப் பற்றி மேலும் தெரிந்து கொள்ள நீங்கள் ஆர்வமாக இருந்தால், நீங்கள் விவரங்களை அணுகலாம் பின்வரும் இணைப்பு.


உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

*

*

  1. தரவுகளுக்குப் பொறுப்பு: AB இன்டர்நெட் நெட்வொர்க்ஸ் 2008 SL
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.