Sigstore ถือได้ว่าเป็น Let's Encrypt สำหรับโค้ด โดยให้ใบรับรองเพื่อเซ็นโค้ดแบบดิจิทัลและเครื่องมือสำหรับการตรวจสอบโดยอัตโนมัติ
Google เปิดตัว ผ่านบล็อกโพสต์ประกาศของ การก่อตัวของ .รุ่นแรกที่เสถียร ส่วนประกอบที่ประกอบขึ้นเป็นโครงการ ซิกสโตร์, ซึ่งได้รับการประกาศให้เหมาะสมสำหรับการสร้างการใช้งานที่ใช้งานได้
สำหรับคนที่ไม่รู้จัก Sigstore น่าจะรู้ว่านี่คือโครงการที่ มีวัตถุประสงค์ในการพัฒนาและจัดหาเครื่องมือและบริการสำหรับการตรวจสอบซอฟต์แวร์ โดยใช้ลายเซ็นดิจิทัลและดูแลทะเบียนสาธารณะที่ยืนยันความถูกต้องของการเปลี่ยนแปลง (ทะเบียนความโปร่งใส)
กับซิกสโตร์ นักพัฒนาสามารถเซ็นชื่อแบบดิจิทัลได้ อาร์ติแฟกต์ที่เกี่ยวข้องกับแอปพลิเคชัน เช่น ไฟล์เผยแพร่ รูปภาพคอนเทนเนอร์ ไฟล์ Manifest และไฟล์เรียกทำงาน วัสดุที่ใช้สำหรับ ลายเซ็นจะสะท้อนให้เห็นในบันทึกสาธารณะที่ป้องกันการงัดแงะ ซึ่งสามารถนำไปใช้ในการทวนสอบและตรวจสอบได้
แทนคีย์ถาวร, Sigstore ใช้คีย์ชั่วคราวที่มีอายุสั้น ที่สร้างขึ้นตามข้อมูลประจำตัวที่ตรวจสอบโดยผู้ให้บริการ OpenID Connect (ในขณะที่สร้างคีย์ที่จำเป็นในการสร้างลายเซ็นดิจิทัล นักพัฒนาจะถูกระบุผ่านผู้ให้บริการ OpenID ด้วยลิงก์อีเมล)
ความถูกต้องของคีย์ได้รับการตรวจสอบโดยทะเบียนสาธารณะส่วนกลาง ซึ่งช่วยให้แน่ใจได้ว่าผู้เขียนลายเซ็นคือคนที่พวกเขากล่าวว่าเป็น และลายเซ็นนั้นถูกสร้างขึ้นโดยผู้เข้าร่วมคนเดียวกันที่รับผิดชอบเวอร์ชันก่อนหน้า
การจัดเตรียม Sigstore เพื่อนำไปปฏิบัติ มีสาเหตุมาจาก การกำหนดเวอร์ชันของสององค์ประกอบหลัก: Rekor 1.0 และ Fulcio 1.0ซึ่งอินเทอร์เฟซการเขียนโปรแกรมได้รับการประกาศว่ามีเสถียรภาพและต่อจากนี้ไปจะคงความเข้ากันได้กับเวอร์ชันก่อนหน้า ส่วนประกอบของบริการเขียนด้วยภาษา Go และเผยแพร่ภายใต้ลิขสิทธิ์ Apache 2.0
ส่วนประกอบ Rekor มีการใช้งานรีจิสทรีเพื่อจัดเก็บข้อมูลเมตาที่เซ็นชื่อแบบดิจิทัล ที่สะท้อนข้อมูลเกี่ยวกับโครงการ เพื่อให้มั่นใจถึงความสมบูรณ์และการป้องกันข้อมูลเสียหาย โครงสร้าง Merkle Tree ถูกใช้โดยแต่ละสาขาจะตรวจสอบสาขาและโหนดที่อยู่ภายใต้ทั้งหมดผ่านแฮชร่วม (tree) การมีแฮชต่อท้าย ผู้ใช้สามารถตรวจสอบความถูกต้องของประวัติการดำเนินการทั้งหมดได้ เช่นเดียวกับความถูกต้องของสถานะฐานข้อมูลที่ผ่านมา (แฮชการตรวจสอบรูทของสถานะฐานข้อมูลใหม่จะถูกคำนวณโดยพิจารณาจากสถานะที่ผ่านมา) มี RESTful API สำหรับตรวจสอบและเพิ่มระเบียนใหม่ รวมทั้งอินเทอร์เฟซบรรทัดคำสั่ง
ส่วนประกอบ fulcius (SigStore WebPKI) รวมถึงระบบการสร้างผู้ออกใบรับรอง (root CA) ที่ออกใบรับรองอายุสั้นตามอีเมลที่ผ่านการตรวจสอบสิทธิ์ผ่าน OpenID Connect อายุการใช้งานของใบรับรองคือ 20 นาที ในระหว่างนั้นผู้พัฒนาต้องมีเวลาในการสร้างลายเซ็นดิจิทัล (หากใบรับรองตกไปอยู่ในมือของผู้โจมตีในอนาคต ใบรับรองจะหมดอายุ) อีกด้วย, โครงการพัฒนาชุดเครื่องมือ Cosign (Container Signing) ออกแบบมาเพื่อสร้างลายเซ็นสำหรับคอนเทนเนอร์ ตรวจสอบลายเซ็น และวางคอนเทนเนอร์ที่ลงนามในที่เก็บที่สอดคล้องกับ OCI (Open Container Initiative)
การแนะนำของ Sigstore ช่วยเพิ่มความปลอดภัยให้กับช่องทางการจัดจำหน่ายซอฟต์แวร์ และป้องกันการโจมตีที่กำหนดเป้าหมายไลบรารีและการทดแทนการพึ่งพา (ห่วงโซ่อุปทาน) ปัญหาด้านความปลอดภัยที่สำคัญประการหนึ่งในซอฟต์แวร์โอเพ่นซอร์สคือความยากลำบากในการตรวจสอบแหล่งที่มาของโปรแกรมและยืนยันกระบวนการสร้าง
การใช้ลายเซ็นดิจิทัลสำหรับการตรวจสอบเวอร์ชันยังไม่แพร่หลาย เนื่องจากปัญหาในการจัดการคีย์ การกระจายคีย์สาธารณะ และการเพิกถอนคีย์ที่ถูกบุกรุก เพื่อให้การตรวจสอบมีความสมเหตุสมผล จำเป็นต้องจัดระเบียบกระบวนการที่เชื่อถือได้และปลอดภัยสำหรับการแจกจ่ายกุญแจสาธารณะและเช็คซัม แม้จะมีลายเซ็นดิจิทัล ผู้ใช้จำนวนมากก็เพิกเฉยต่อการตรวจสอบ เนื่องจากต้องใช้เวลาในการเรียนรู้กระบวนการตรวจสอบและทำความเข้าใจว่าคีย์ใดเชื่อถือได้
โครงการกำลังได้รับการพัฒนาภายใต้การอุปถัมภ์ของมูลนิธิ Linux ที่ไม่แสวงหากำไรของ Google, Red Hat, Cisco, vmWare, GitHub และ HP Enterprise โดยมีส่วนร่วมของ OpenSSF (Open Source Security Foundation) และ Purdue University
สุดท้ายนี้ หากสนใจอยากทราบข้อมูลเพิ่มเติม สามารถเข้าไปดูรายละเอียดได้ที่ ลิงค์ต่อไปนี้