Ang Sigstore ay maaaring ituring na Let's Encrypt para sa code, na nagbibigay ng mga certificate para digitally sign code at mga tool para i-automate ang pag-verify.
Inilantad ng Google sa pamamagitan ng isang blog post, ang anunsyo ng ang pagbuo ng mga unang matatag na bersyon ng ang mga sangkap na bumubuo sa proyekto tindahan ng tanda, na ipinahayag na angkop para sa paglikha ng mga gumaganang deployment.
Para sa mga hindi nakakaalam ng Sigstore, dapat nilang malaman na ito ay isang proyekto na ay may layuning bumuo at magbigay ng mga tool at serbisyo para sa pag-verify ng software gamit ang mga digital na lagda at pagpapanatili ng pampublikong pagpapatala na nagpapatunay sa pagiging tunay ng mga pagbabago (transparency registry).
Sa Sigstore, maaaring digital na lagdaan ng mga developer mga artifact na nauugnay sa application gaya ng mga release file, mga imahe ng container, manifest, at executable. Ang materyal na ginamit para sa ang pirma ay makikita sa isang pampublikong talaan na hindi maiiwasang pakialaman na maaaring gamitin para sa pagpapatunay at pag-audit.
Sa halip na mga permanenteng susi, Ang Sigstore ay gumagamit ng panandaliang ephemeral key na nabuo batay sa mga kredensyal na na-verify ng mga provider ng OpenID Connect (sa oras ng pagbuo ng mga susi na kinakailangan upang lumikha ng isang digital na lagda, ang developer ay makikilala sa pamamagitan ng OpenID provider na may isang email link).
Ang pagiging tunay ng mga susi ay napatunayan ng isang sentralisadong pampublikong pagpapatala, na nagbibigay-daan sa iyong tiyakin na ang may-akda ng lagda ay eksakto kung sino ang sinasabi nilang sila, at na ang lagda ay nabuo ng parehong kalahok na responsable para sa mga nakaraang bersyon.
Ang paghahanda ng Sigstore para sa pagpapatupad ay dahil sa bersyon ng dalawang pangunahing bahagi: Rekor 1.0 at Fulcio 1.0, na ang mga interface ng programming ay ipinahayag na stable at mula ngayon ay nagpapanatili ng pagiging tugma sa mga nakaraang bersyon. Ang mga bahagi ng serbisyo ay nakasulat sa Go at inilabas sa ilalim ng lisensya ng Apache 2.0.
Ang sangkap Naglalaman ang Rekor ng pagpapatupad ng registry upang mag-imbak ng metadata na nilagdaan nang digital na sumasalamin sa impormasyon tungkol sa mga proyekto. Upang matiyak ang integridad at proteksyon laban sa katiwalian ng data, isang istraktura ng Merkle Tree ang ginagamit kung saan ang bawat sangay ay nagve-verify ng lahat ng pinagbabatayan na sangay at node sa pamamagitan ng magkasanib na hash (puno). Sa pamamagitan ng pagkakaroon ng panghuling hash, mabe-verify ng user ang kawastuhan ng buong kasaysayan ng operasyon, pati na rin ang kawastuhan ng mga nakaraang estado ng database (ang root check hash ng bagong estado ng database ay kinakalkula kung isasaalang-alang ang nakaraang estado). Isang RESTful API para sa pagsuri at pagdaragdag ng mga bagong tala ay ibinibigay, pati na rin ang interface ng command line.
Ang sangkap fulcius (SigStore WebPKI) kasama ang isang sistema para sa paglikha ng mga awtoridad sa sertipikasyon (root CA) na naglalabas ng mga panandaliang certificate batay sa na-authenticate na email sa pamamagitan ng OpenID Connect. Ang buhay ng certificate ay 20 minuto, kung saan ang developer ay dapat magkaroon ng oras upang bumuo ng isang digital signature (kung ang certificate ay mahulog sa mga kamay ng isang attacker sa hinaharap, ito ay mag-e-expire na). Gayundin, ang proyekto ay bubuo ng Cosign toolkit (Container Signing), na idinisenyo upang bumuo ng mga lagda para sa mga container, i-verify ang mga lagda at ilagay ang mga nilagdaang container sa mga repositoryong sumusunod sa OCI (Open Container Initiative).
Ang pagpapakilala ng Pinapayagan ng Sigstore na pataasin ang seguridad ng mga channel sa pamamahagi ng software at protektahan laban sa mga pag-atake na nagta-target sa library at pagpapalit ng dependency (supply chain). Ang isa sa mga pangunahing isyu sa seguridad sa open source software ay ang kahirapan sa pag-verify ng pinagmulan ng program at pag-verify sa proseso ng pagbuo.
Ang paggamit ng mga digital na lagda para sa pag-verify ng bersyon ay hindi pa laganap dahil sa mga kahirapan sa pamamahala ng susi, pamamahagi ng pampublikong susi, at pagbawi ng mga nakompromisong susi. Para magkaroon ng katuturan ang pag-verify, kinakailangan ding ayusin ang isang maaasahan at secure na proseso para sa pamamahagi ng mga pampublikong susi at checksum. Kahit na may digital signature, maraming user ang hindi binabalewala ang pag-verify dahil nangangailangan ng oras upang matutunan ang proseso ng pag-verify at maunawaan kung aling key ang pinagkakatiwalaan.
Ang proyekto ay binuo sa ilalim ng tangkilik ng nonprofit na Linux Foundation ng Google, Red Hat, Cisco, vmWare, GitHub, at HP Enterprise na may partisipasyon ng OpenSSF (Open Source Security Foundation) at Purdue University.
Panghuli, kung interesado kang malaman ang tungkol dito, maaari kang kumunsulta sa mga detalye sa ang sumusunod na link.